Mis on digitaalsed sertifikaadid? Definitsioon, X.509, tüübid ja kasutus

Digitaalsed sertifikaadid on elektroonilised "krediitkaardid", mis tõendavad teie volitusi äritegevuse või muude tehingute tegemisel veebis. Neid väljastab sertifitseerimisasutus (CA). Sertifikaat sisaldab tavaliselt omaniku nime, seerianumbrit, kehtivusaega, sertifikaadi omaniku avaliku võtme koopiat (mida kasutatakse sõnumite krüpteerimiseks ja digitaalallkirjade andmiseks) ning sertifikaati väljastava asutuse digitaalallkirja, et vastuvõtja saaks kontrollida, kas sertifikaat on tõeline. Mõned digitaalsertifikaadid vastavad standardile X.509. Digitaalseid sertifikaate hoitakse sageli registrites või sertifikaadipoodides (certificate stores), mis võimaldavad autentitud kasutajatel otsida ja kontrollida teiste isikute või teenuste avalikke võtmeid.

Mis on võtme- ja sertifikaadipaar?

Digitaalne sertifikaat töötleb avaliku ja privaatse võtme paari: privaatne võti jääb sertifikaadi omaniku poolele ja seda hoitakse turvaliselt (näiteks tarkvara võtmehoidlas või spetsiaalses riistvaras), avalik võti lisatakse sertifikaati. Kui keegi saadab teile sõnumi, saab teie avaliku võtme abil kontrollida sõnumi allkirja või krüpteerida andmed, mida ainult teie privaatse võtmega saab dekrüpteerida.

Standard X.509 ja kuidas see töötab

Standard X.509 määratleb digitaalsertifikaadi formaadi ja sisaldab välju, nagu versioon, seriaalnumber, algoritmid, emitendi (issuer) andmed, kehtivusperiood ja avalik võti. Lisaks on X.509 sertifikaatidel liigendus (nt alam- ja ülem-CA), võimalus lisada laiendusi (extensions) ning sertifikaadi ahel (certificate chain), mis võimaldab kontrollida usaldust juursertifikaadist (root CA) kuni lõppkasutaja sertifikaadini.

Tüübid ja kasutusvaldkonnad

Digitaalseid sertifikaate kasutatakse mitmel otstarbel. Peamised kasutusvaldkonnad on:

• Veebiserverite autentimine (SSL/TLS) — veebilehtede HTTPS-ühendus kasutab serveri sertifikaati andmete krüpteerimiseks ja serveri identiteedi kinnitamiseks.
• Kliendi autentimine — ettevõtted ja valitsusasutused võivad nõuda klientidelt isikutuvastamiseks kliendi sertifikaati (nt VPN-i või sisevõrgu ligipääsuks).
• S/MIME e-kirjade krüpteerimine ja allkirjastamine — e-kirjade autentsus ja konfidentsiaalsus.
• Koodi allkirjastamine — tarkvara ja draiverite allkirjastamisel, et tõestada lähtekoodi usaldusväärsust.
• Dokumentide digitaalne allkirjastamine — PDF-ide ja muude dokumentide allkirjastamine.
• IoT ja seadmete autentimine — seadmed kasutavad sertifikaate omavahel suhtlemiseks ja korralduseks.

Digitaalse sertifikaadi klassid ja valideerimisaste

Erinevad sertifikaaditüübid ja klassid peegeldavad väljastamise protsessi rangust ja seega ka sertifikaadi usaldusväärsust. Levinud jaotus on järgmine:

• Klass 1 — määratleb sertifikaadi, millel ei ole õiguslikku kehtivust või mille usaldus on piiratud, kuna valideerimisprotsess põhineb ainult kehtival e-posti tunnusel (e-mail validation) ja ei hõlma isiku või organisatsiooni otsest kontrolli.
• Klass 2 — isiku või organisatsiooni identiteet kontrollitakse usaldusväärse, eelnevalt kinnitatud andmebaasi alusel (nt äriregister, pangarekister), seega on usaldus kõrgem kui klass 1 puhul.
• Klass 3 — nõuab, et isik esitaks end füüsiliselt registreerimisasutuse ees ja tõendaks oma isikut dokumentidega; kasutatakse kriitilisemates rakendustes, kus on oluline tugev identiteedikinnitus.

Muud sertifikaaditüübid ja valideerimismeetodid

• Domain-Validated (DV) — kontrollitakse ainult domeeni omaniku õigusi (tüüpiliselt automatiseeritud e-posti või DNS-väljade kaudu).
• Organization-Validated (OV) — kontrollitakse ka organisatsiooni olemasolu ja andmeid, sobib ärilehtedele, kus on oluline näidata ettevõtte andmeid.
• Extended Validation (EV) — rangem kontrolliprotsess; brauserid näitavad tavaliselt selgemalt ettevõtte nime ning see suurendab usaldusväärsust ärisituatsioonides.

Sertifikaadi kontroll ja tühistamine

Sertifikaadi kehtivust saab kontrollida järgmiste mehhanismide abil:

• Kehtivusaeg — kontrolli, et sertifikaat ei oleks aegunud.
• Digitaalallkiri ja emitent — veendu, et sertifikaati on allkirjastanud usaldusväärne CA ja et allkiri on kehtiv.
• Tühistamisloendid (CRL) — CA avaldab perioodiliselt sertifikaatide tühistamisloendeid.
• OCSP (Online Certificate Status Protocol) — kiire reaalaja päring sertifikaadi staatuse kohta.

Sertifitseerimisasutused (CA) ja usaldusketid

Sertifikaadid töötavad usaldusmudeli põhjal: süsteem usaldab teatud juursertifikaate (root CA). Kui juursertifikaat on usaldusväärne, võidakse automaatselt usaldada temalt väljunud alamsertifikaate. Seetõttu on oluline kasutada tuntud ja mainekat CA-d ning olla ettevaatlik kolmandate osapooltega, kelle juursertifikaadid on teie süsteemis lisatud.

Turvakaalutlused ja parimad praktikad

• Säilita privaatvõtmed turvaliselt (kasuta riistvaralist võtmehoidlat HSM, smart-kaarti või opsüsteemi turvalist võtmehoidlat).
• Uuenda ja uuenda sertifikaate enne nende aegumist, et vältida katkestusi teenustes.
• Revokeeeri sertifikaat kohe, kui privaatvõti on kompromiteeritud.
• Kontrolli sertifikaadi läbipaistvust (Certificate Transparency) avalike logide kaudu, eriti veebiserveri sertifikaatide puhul.
• Kasutaja tasandil: kontrolli brauseri või e-posti kliendi näidatavat väljastajat, kehtivusaegu ja kas sertifikaat on väljastatud usaldusväärse CA poolt.

Kokkuvõte

Digitaalsed sertifikaadid on kriitilised tänapäevaste turvasüsteemide osa, võimaldades krüptimist, autentimist ja digitaalallkirju. Mõistes sertifikaatide tüüpe (nt X.509), valideerimisklasse ja haldumehhanisme (CRL, OCSP), saab paremini hinnata nende usaldusväärsust ja rakendada parimaid tavasid turvaliseks kasutamiseks.

Küsimused ja vastused

K: Mis on digitaalsed sertifikaadid?

K: Kes väljastab digitaalseid sertifikaate?

K: Millist teavet sisaldab digitaalne sertifikaat?

K: Mis on X.509?

K: Millised on digitaalsertifikaatide klassid?

K: Mis on klassi 1 digitaalne sertifikaat?

K: Mis on klassi 3 digitaalne sertifikaat?

Otsing