SSL sertificates form
SSL
SSL sertifikatų tipai
Apibrėžimas
Duomenų saugumas - svarbi sąlyga apsiperkant internete, naudojantis el. bankininkystės sistemomis ir ne tik. Žinodami, kad tradiciniai interneto protokolai neužtikrina saugaus duomenų perdavimo tarp vartotojo kompiuterio ir serverio, interneto vartotojai vis dažniau ieško SSL sertifikato "spynelės".
Paaiškinimai
a) Patikimi SSL sertifikatai (angl. Trusted SSL certificate)
Patikimi SSL sertifikatai – skaitmeniniai dokumentai, išduoti SSC. Vykstant prisijungimui per patikimą SSL sertifikatą naudojant programine įrangą (pvz. naršyklę) , autentifikavimas vykdomas automatiškai. SSC priskiria sertifikatą domenui (angl. - domain) nurodant informacijoje jo galiojimo laiką (nuo 1 iki 5 metų), elektroninį parašą ir t.t. Tokiu būdu palaikomas garantuotas apsaugos lygis užmegstam sujungimui. Jeigu patikimas SSL sertifikatas yra nulaužiamas, visą atsakomybę prisiima SSC.
Patikimas SSL sertifikatas turi „atvirą“ ir „slaptą-privatų“ raktą. Atviras raktas yra pasiekiamas kiekvienam vartotojui tinkle, o „slaptas-privatus“ – tik serverio savininkui. Tokia sistema leidžia išlaikyti duomenų perdavimo saugumą.
b) Save pasirašantys SSL sertifikatai (angl. Self-Signed SSL certificate (SS SSL)
SS SSL sertifikatus galima sugeneruoti pačiam, tačiau jo autentifikavimą patvirtina kūrėjas. Todėl programinė įranga perspėja vartotoją apie SS SSL. Nulaužus SS SSL, niekas dėl to neprisiima atsakomybės ir žalos neatlygina.
Kodėl būtent naršyklės perspėja apie SS SSL ? Šie sertifikatai yra patvirtinami „atviru“ raktu, kuris yra dalis pačio sertifikato (dėl to sertifikatas ir „patvirtina pats save“). Todėl rekomenduojama naudoti SSC sertifikatą (SSC elektroninį parašą).
c) Standartiniai SSL sertifikatai (angl. - Standard SSL certificate)
Standartiniai SSL sertifikatai išduodami tik vienam domenui (angl. - domain). Jeigu Jūs įsigyjate sertifikatą domenui imone.lt, tai duomenų apsikeitimas praeis saugiai adresu https://imone.lt . Bandant prisijungti prie žemesnio lygmens domenų (www.imone.lt, jusu.imone.lt ir pan.) naudojant saugų ryšį bus pranešama apie klaidą.
d) WildCard SSL certificate
Wilcard SSL sertifikatai aktyvuoja saugų duomenų apsikeitimą pagrindiniame domene (angl. - domain) ir visose žemesnio lygmens domenuose. Tarkime, įmonė įsigyja WildCard SSL sertifikatą domenui imone.lt. Sertifikatas bus išduotas pavadinimu *.imone.lt, t.y, jį galima bus naudoti visiems įmonės žemesnio lygmens domenams ir duomenų apsikeitimas bus saugus https://*.imone.lt domenuose.
e) Privatūs/Individualūs SSL sertifikatai (angl. - Private SSL certificate)
Individualūs SSL sertifikatai yra išdauodami vienam vartotojui, ir tik vienam domenui. Individualaus SSL sertifikato veikimas yra toks pat kaip ir Standartinio SSL sertifikato.
f) Bendri SSL sertifikatai (angl. - Shared SSL certificate)
Bendri SSL sertifikatai vienu metų apsaugo kelis puslapius. Puslapiai savo ruožtu naudoja bendrus raktus, o tai sumažina saugumo lygį.
SSL struktūra
Pirma sertifikato versija yra nudoroma pagal nutylėjimą. Jeigu nurodyta antra versija, tai sertifikatas pasipildo unikaliais identifikatoriais, o jeigu trečia, tai unikaliais identifikatoriais ir papildoma informacija, kuri yra būdinga visiems šiuolaikiniams sertifikatams.
1 pav. Sertifikato struktūra
Vartotojo vardas |
C=LT, org=ACME , cn= UserName |
Leidėjo vardas |
C=LT, org=ACME |
Serijinis numeris |
#123456789 |
Vartotojo atviras raktas |
|
Algoritmas |
xxxx Open key |
Rakto reikšmė |
0100110100100101000001 |
Sertifikatas galioja nuo |
2008.01.01 00:00:00 |
Sertifikatas galioja iki |
2010.12.31 23:59:59 |
Papildoma informacija (X.509 v3 Extensions) |
|
Sertifikatas skirtas |
Pinigų pervedimui |
„Slaptas“ raktas galioja nuo |
2008.12.31 23:59:59 |
„Slaptas“ raktas galioja iki |
2009.12.31 23:59:59 |
Vartotojo informacija |
IP, DNS, RFC822 , Sąskaitos numeris, Adresas ... |
SSC parašas |
|
Algoritmas |
Pavadinimas sign algorithm |
Reikšmė |
0100110100100101000001 |
1 lentele. X.509 sertifikato pavyzdys
Panagrinėkime https://www.vgtu.lt :
1 pav. Pranėšimas, kad autentifikuoti svetainė nepavyko.
Iš 1 pav. matyti, kad sertifikatas, kurį naudoja VGTU universitetas yra skirtas https://info.vgtu.lt adresui.
2 pav. info.vgtu.lt sertifikato pateikta informacija
Iš 2 pav., matome, kad info.vgtu.lt naudoja Cybertrust įmonės SSL sertifikatą, kurio galiojimo laikas baigiasi 2011.08.20 diena. Taipogi galime pamatyti sertifikato serijinį numerį, kad sertifikatas yra skirtas VGTU universitetui, bei SHA1 ir MD5 “antspaudus” (angl. - fingerprint).
3 pav. info.vgtu.lt SSL sertifikato langai
Sertifikatas |
|
Naudojama versija |
3 |
Serijinis numeris |
01:00:00:00:00:01:1B:E0:2D:DE:5A |
Sertifikato pasirašymo algoritmas |
PKCS #1 SHA-1 With RSA Encryption |
SSC teikėjas |
CN = Cybertrust Educational CA OU = Educational CA O = Cybertrust C = BE |
Galiojimo laikas |
|
Galioja nuo |
|
Galioja iki |
|
Internetinis adresas/Vartotojas/Miestas/Valstybė |
CN = info.vgtu.lt O = Vilniaus Gedimino technikos universitetas L = Vilnius C = LT |
Viešojo rakto informacija |
|
Viešojo rakto naudojamas algoritmas |
PKCS #1 RSA Encryption |
Viešas raktas |
Modulus (2048 bits): b4 ca 90 be 5e c6 d1 9a 42 d6 93 41 64 52 c2 19 bf ec 40 2a 9a c6 30 27 36 12 18 db eb c8 7d 3d 95 c4 e9 f6 a2 53 42 10 fa 89 e2 dd 71 d5 7a 37 ae 41 c0 04 c4 da 9e 7b 27 3c 6c 3b 81 3c 9e 27 d8 20 a5 a5 11 03 0a cd 93 92 3f 78 2a 48 1f ca f7 f6 00 ba 7f c4 2c b9 93 19 96 21 4e 80 72 30 72 c9 85 82 e6 80 c0 04 1e 94 62 be fd 75 57 34 10 54 b5 e5 9d 76 c3 d4 52 19 40 e4 b2 87 37 bb ec a8 36 62 c7 49 1d 4f 21 17 ed 2f 65 ef d0 d0 de 6e c1 44 13 8e 9c 59 ca cd af b9 fb 25 11 8c 34 2a 96 8f 43 54 e9 1d d3 77 d4 70 83 87 1e 2d a9 05 59 d2 98 02 11 df 24 10 56 af cd 57 9e 41 eb 4b 58 9d 60 6b 93 84 da 8f 53 c4 33 50 65 07 43 d5 ac 7b 6e 18 10 49 44 23 68 9c e3 98 4a 25 4b b4 46 23 86 b1 16 33 b8 37 c9 3d 15 ae 3c 96 bc 58 86 86 98 ba fa 47 4d 44 f2 1b f9 68 53 69 Exponent (24 bits): 65537 |
Papildoma informacija |
|
Sertifikato naudojimo instrukcija/ sąlygos |
Not Critical 1.2.840.6334.1.0: Certification Practice Statement pointer: http://www.globalsign.net/repository/cps.cfm |
Sertifikato naudojimas |
Critical Signing Key Encipherment |
Sertifikato atpažinimo raktas |
Not Critical Size: 20 Bytes / 160 Bits 65 65 a3 3d d7 3b 11 a3 0a 07 25 37 c9 42 4a 5b 76 77 50 e1 |
Sertifikato rakto pavadinimo ID |
Not Critical Size: 20 Bytes / 160 Bits 6f 52 6c 8e 75 83 18 b0 c4 45 92 28 84 0f 19 59 85 03 0b 2b |
CRL Distribution Points |
Not Critical URI: http://crl.globalsign.net/educational.crl |
CRL Distribution Points yra saugoma nuoroda į CRL failą. CRL – yra nurodomas laiko tarpas kai SSC yra dar oficialus sertifikato teikėjas. Pvz. myca+.crl – reiškia, kad SSC sertifikato centras vadinasi „myca“, ir jo sertifikatas buvo atnaujintas viena kartą, tuo pačiu raktu. |
|
Autority Information Access |
Not Critical CA Issuers: URI: http://secure.globalsign.net/cacert/educational.crt |
Išplėsto rakto naudojimas |
Not Critical TLS Web Server Authentication (1.3.6.1.5.5.7.3.1) TLS Web Client Authentication (1.3.6.1.5.5.7.3.2) |
Sertifikato vardas |
Not Critical DNS Name: info.vgtu.lt |
Sertifikato pasirašymo algoritmas |
PKCS #1 SHA-1 With RSA Encryption |
Sertifikato pasirašymo verte |
Size: 256 Bytes / 2048 Bits 89 4a 9d da 07 f9 7c 0d fa 64 3f 17 ff 7d d6 d7 3e c1 24 ca 06 31 ed 4a 52 e0 f9 f2 e4 d3 72 58 d1 40 02 6a ec 9a ba fa ae e8 1f 84 0e 5f 07 21 89 f1 83 11 65 28 3e e0 2d 62 a9 89 2d bd 7a 2d fc 76 84 0f dc 25 a7 bd 25 c1 a6 d0 e9 0e 55 cc 86 68 a1 1f ed a5 a8 83 cf 5e b3 ac 26 4b 68 ce 91 d1 9c 1a cf 9b 5f 3f 85 69 38 bc cb 7f 3a 70 02 1a 8d 98 9f 72 31 53 1c c0 e8 8a dc 8f 68 91 48 e2 08 b5 e4 1b 3b 90 83 20 b6 a8 db 42 7b 1e 9d 7f 52 7f 0e d9 6d e6 78 6e 86 71 03 40 fc cb cf f5 d3 26 09 fa cb 07 3c 1c 24 90 61 fa 5a ff 38 d1 66 4a c9 97 f5 9a 4a 65 8d 92 94 98 cc 25 56 67 94 99 83 5a 57 5a 9c ce b8 60 a6 c1 96 35 23 23 60 55 e4 f4 ae c6 db 7c e8 6b 43 55 17 67 bd 6a ab 52 33 20 91 c0 06 1e 5e 96 9e fb 22 4c 4c e5 3c e4 d1 56 89 37 12 3d f3 5b f0 e2 6b c0 |