مرجع صدور گواهی دیجیتال (CA)
در سلسله مقالاتی که با عنوان “راهنمای جامع خرید گواهی SSL (1)“ آغاز شد در مورد خرید انواع گواهی SSL و نحوه فعال سازی آن به طور مفصل صحبت کردیم. امروز نیز قصد داریم یک شمای کلی از فرآیند اساسی شامل ایجاد، امضا، استقرار و استفاده از مرجع صدور گواهی دیجیتال CA را به شما ارائه دهیم.
در حال حاضر، انواع مختلفی از گواهی وجود دارد اما ما فقط بر روی گواهی های مورد استفاده در سرورهای امن تمرکز خواهیم کرد، زیرا رایجترین آن ها هستند. شما هر روز با این نوع گواهینامه ها در وب مواجه می شوید، به خصوص زمانی که به سایت هایی متصل می شوید که از HTTPS پشتیبانی می کنند. اگر نمیخواهید مرورگرهای وب، هنگام اتصال کاربران به سرور شما، اخطاری را نمایش دهند، باید از گواهی نامه امضا شده با CA (certificate authority)، استفاده کنید. اما CA یا مرجع صدور گواهی دیجیتال دقیقاً چیست و چگونه تراکنش ها و ارتباطات شما را ایمن تر می کند؟
بیایید آن را در این مقاله، به طور کامل بررسی کنیم.
مرجع صدور گواهی دیجیتال (CA) چیست؟
مقامات صدور گواهی (CA)، بخش مهمی از اینترنت هستند. اگر CA وجود نداشت، نمی توانستید خرید کنید، مالیات بپردازید، یا حتی خدمات و تراکنش بانکی را به صورت آنلاین انجام دهید. زیرا اینترنت ناامن می شد. حتی مرورگر وب شما نیز در حال حاضر از یک مرجع گواهی استفاده می کند. قبل از اینکه هر کاربر از طریق مرورگر وب مانند کروم، فایرفاکس، سافاری، اینترنت اکسپلورر با دامنه HTTPS به سرور شما متصل شود، مجموعه ای از گواهی ها را در اختیار دارد که میتواند از آنها برای تأیید امضای دیجیتال استفاده کرد. این گواهیهای دیجیتال مرورگر وب، مرجع صدور گواهی دیجیتال (certificate authority) یا (certification authority) یا (CA) نامیده میشوند.
هدف آنها این است که اینترنت را به مکانی امن برای سازمان ها و کاربران تبدیل کنند. این بدان معناست که نقشی اساسی در امنیت دیجیتال دارند. اگر کمی مبهم به نظر می رسد، بیایید از مثالی برای توضیح اینکه مرجع گواهی یا (CA) چیست، استفاده کنیم. فرض کنید در حال بازدید از وب سایت، bbt.com هستید:
اگر با نحوه عملکرد وب آشنا باشید، می دانید که همه چیز همیشه آنطور که به نظر می رسد، نیست. وب سایت هایی شبیه bbt.com وجود دارد و URL آن ها نشان می دهد که bbt.com است. اما چگونه باید اطمینان حاصل کرد که به سروری متصل هستید، توسط BB&T اداره می شود؟ چگونه می توان متوجه شد که یک هکر نیست که وب سایتی درست شبیه به bbt.com ساخته است؟ باید بدانیم که برای نابغه های هکر، انجام این کار بسیار آسان است در اینجا یک نمونه اخیر از این نوع حمله آورده شده است:
بنابراین، چگونه می توان متوجه شد که به وب سایت رسمی و مرجع متصل هستید؟ درواقع این عملکرد، وظیفه یک مرجع صدور گواهی دیجیتال CA است. آن ها وب سایت ها را تأیید می کنند و به شما اطمینان می دهند تا بتوانید وبسایت های رسمی را از فیشینگ تشخیص دهید. بنابراین، اگر به جزئیات گواهی SSL/TLS برای bbt.com نگاه کنیم، می بینیم که این وب سایت توسط DigiCert Inc تأیید شده است و بدان معنی است که DigiCert مرجع صدور گواهی است که BB&T/bbt.com را تأیید کرده است، بنابراین می توانید 100٪ مطمئن باشید که با وب سایت رسمی BB&T در ارتباط هستید:
در این قسمت، نحوه نمایش اطلاعات گواهی را در مرورگر Google Chrome نشان می دهد.
در این قسمت نیز، نحوه نمایش اطلاعات گواهی را در مرورگر firefox نشان می دهد.
صدور گواهی مانند مقامات گذرنامه برای اینترنت هستند.
اگر تا به حال گذرنامه ای برای سفر خارجه و بین المللی دریافت کرده اید، احتمالاً فرآیند تأییدی را که طی کرده اید تا هویت خود را ثابت کنید را به یاد دارید. احتمالاً شامل مدارک قانونی، شناسه، عکس و شاید اثر انگشت بود. هنگامی که پاسپورت خود را دریافت کردید، می توانید از آن برای اثبات اینکه واقعاً شخص حقیقی شما هستید، استفاده کنید. حتی اگر قبلاً آن ها، شما را ملاقات نکرده باشند.
صدور گواهی دیجیتال نیز به همین صورت است اما برای وب سایت ها و فعالیت های آنلاین. درست مانند اداره گذرنامه، مرجع صدور گواهی دیجیتال CA، برای تکمیل فرآیند تأیید و صدور گواهی، هزینه کمی را دریافت می کند. در این مورد، پس از اینکه وب سایت را تأیید کردند، آنچه به عنوان گواهی دیجیتال شناخته می شود را صادر می کنند. این فایل دیجیتالی به سازمانها، وب سایتها یا سایر نهادها این امکان را میدهد تا به کاربران ثابت کنند که مرجع اصلی و رسمی هستند.
بیایید با جزئیات بیشتر به این موضوع بپردازیم.
بررسی جزییات فنی و نحوه کار مرجع صدور گواهی دیجیتال CA:
روی این گواهی ها یک کپی از کلید عمومی (Public Key) CA وجود دارد. این گواهیهای دیجیتال، فایل های دادهای هستند که برای پیوند رمزنگاری یک موجودیت به وسیله ی کلید عمومی استفاده می شوند. مرورگرهای وب، از آنها برای احراز هویت محتوای ارسال شده از سرورهای وب استفاده می کنند و از اعتماد به محتوای ارائه شده آنلاین اطمینان حاصل می کنند. به طور معمول، متقاضی گواهی دیجیتال یک جفت کلید، متشکل از یک کلید خصوصی و یک کلید عمومی (Private Key and Public Key) به همراه یک درخواست امضای گواهی (CSR) تولید می کند. CSR یک فایل متنی و رمزگذاری شده است که شامل کلید عمومی و سایر اطلاعاتی است که در گواهی گنجانده می شود (به عنوان مثال نام دامنه، سازمان، آدرس ایمیل و غیره). جفت کلید و CSR، که معمولاً روی سرور نصب میشود، انجام میشود. نوع اطلاعات موجود در CSR، بسته به سطح اعتبارسنجی و استفاده موردنظر از گواهی متفاوت است. برخلاف کلید عمومی، کلید خصوصی متقاضی ایمن نگه داشته می شود و هرگز نباید به CA (یا شخص دیگری) نشان داده شود.
پس از ایجاد CSR، متقاضی آن را به یک CA ارسال می کند، که به طور مستقل صحت اطلاعات موجود در آن را تأیید می کند و در این صورت، گواهی را به صورت دیجیتالی با یک کلید خصوصی صادرکننده امضا می کند و برای متقاضی ارسال می کند.
وقتی گواهی امضا شده به شخص ثالث ارائه میشود (مانند زمانی که آن شخص به وبسایت دارنده گواهی دسترسی پیدا میکند)، گیرنده میتواند امضای دیجیتال CA را از طریق کلید عمومی CA تأیید کند. علاوه بر این، گیرنده میتواند از گواهی استفاده کند تا تأیید کند که محتوای امضاء شده توسط شخصی که کلید خصوصی مربوطه را در اختیار دارد، ارسال شده است و اینکه اطلاعات از زمان امضای آن تغییر نکرده است. بخش کلیدی این جنبه از گواهی، چیزی به نام زنجیره اعتماد است.
هدف اصلی یک CA تأیید صحت و اعتبار یک وب سایت، دامنه و سازمان است تا کاربران دقیقاً بدانند که با چه کسی به صورت آنلاین در ارتباط هستند و آیا می توان به آن نهاد یا داده های آنها اعتماد کرد. هنگامی که یک CA برای یک وب سایت گواهی دیجیتال صادر می کند، کاربران می دانند که با یک وب سایت رسمی مرتبط هستند، نه یک وب سایت جعلی که توسط یک هکر برای سرقت اطلاعات یا پول آنها ایجاد شده است.
منبع:
https://www.thesslstore.com/blog/what-is-a-certificate-authority-ca-and-what-do-they-do/
https://www.jscape.com/blog/an-overview-of-how-digital-certificates-work
https://www.techtarget.com/searchsecurity/definition/certificate-authority
https://www.ssl.com/faqs/what-is-a-certificate-authority/