Zertifikatbehörden sind einer der wichtigsten Eckpfeiler für die Internetsicherheit. Eine Zertifikatbehörde ist jemand, der von allen vertraut ist, wenn niemand jemandem vertraut. Es ist dann die Aufgabe dieser Zertifikatsbehörde (a.k.A CA), um sicherzustellen, dass das Vertrauen zwischen Servern und Kunden festgelegt wird.Eine CA ist nicht nur für HTTPs wichtig, die von Browsern und Web -Apps verwendet werden, sondern auch für verschlüsselte E -Mails, signierte Software -Updates, VPNs und vieles viel mehr. Wir werden das prototypische Beispiel von HTTPS in diesem speziellen Kontext über CA erfahren. Obwohl Sie das Ergebnis auf jede andere Software -Suite extrapolieren können.

Probleme mit HTTP und einfachem Text

Das Internet ist ein nicht vertrauenswürdiger Kommunikationskanal. Wenn Sie Informationen von einer alten HTTP -Website senden oder empfangen http: //www.Beispiel.com In Ihrem Browser können viele Dinge mitten zu Ihren Paketen passieren.

1. Ein schlechter Schauspieler kann die Kommunikation abfangen, die Daten für sich selbst kopieren, bevor sie sie erneut auf dem Kanal auf Sie oder den Server, mit dem Sie gesprochen haben. Ohne die Kenntnis der beiden Parteien werden die Informationen beeinträchtigt. Wir müssen sicherstellen, dass die Kommunikation ist Privatgelände.
2. Ein schlechter Schauspieler kann die Informationen ändern, da sie über den Kanal gesendet werden. Bob könnte eine Nachricht gesendet haben "X" Aber Alice würde empfangen "Y" von Bob, weil ein schlechter Schauspieler die Nachricht abgefangen und sie geändert hat. Mit anderen Worten, die Integrität der Nachricht ist beeinträchtigt.
3. Zuletzt und vor allem müssen wir sicherstellen, dass die Person, mit der wir sprechen, in der Tat ist, wer sie sagen, sie sind. Zurück zum der Beispiel.com Domain. Wie können wir sicherstellen, dass der Server, der uns an uns geantwortet hat, tatsächlich der rechtmäßige Inhaber von www ist.Beispiel.com? Zu jedem Zeitpunkt in Ihrem Netzwerk können Sie auf einen anderen Server falsch geleitet werden. Ein DNS irgendwo ist für die Konvertierung eines Domainnamens wie www verantwortlich.Beispiel.com, in eine IP -Adresse im öffentlichen Internet. Ihr Browser hat jedoch keine Möglichkeit zu überprüfen, ob die DNS IP -Adresse übersetzte.

Die ersten beiden Probleme können gelöst werden, indem die Nachricht verschlüsselt wird, bevor sie über das Internet an den Server gesendet wird. Das heißt, indem man auf HTTPS umgeht. Das letzte Problem, das Problem der Identität.

Verschlüsselte HTTP -Sitzungen einleiten

Das Hauptproblem bei der verschlüsselten Kommunikation über einen unsicheren Kanal lautet: „Wie beginnen wir damit, sie zu beginnen?”

Der allererste Schritt würde die beiden Parteien, Ihren Browser und den Server, betreffen, um die Verschlüsselungsschlüssel aus dem Aus-. Wenn Sie mit den Begriffsschlüssel nicht vertraut sind, sehen Sie sie sich als ein sehr langes, zufällig generiertes Passwort vor, mit dem Ihre Daten verschlüsselt werden, bevor Sie über den unsicheren Kanal gesendet werden.

Nun, wenn die Schlüssel über einen unsicheren Kanal gesendet werden, kann jeder dies zuhören und die Sicherheit Ihrer HTTPS -Sitzung in Zukunft beeinträchtigen. Wie können wir darauf vertrauen, dass der Schlüssel, der von einem Server gesendet wird, der behauptet, www zu sein?.Beispiel.com ist in der Tat der tatsächliche Eigentümer dieses Domain -Namens? Wir können eine verschlüsselte Kommunikation mit einer böswilligen Party haben, die sich als legitime Website tarnt und den Unterschied nicht kennen.

Das Problem der Gewährleistung der Identität ist also wichtig, wenn wir einen sicheren Schlüsselaustausch sicherstellen möchten.

Zertifikatbehörden

Möglicherweise haben Sie von LetSencrypt, Digicert, Comodo und einigen anderen Diensten gehört, die TLS -Zertifikate für Ihren Domain -Namen anbieten. Sie können den auswählen, der zu Ihrem Bedarf passt. Jetzt muss die Person/Organisation, die die Domain besitzt. Dies kann durch Erstellen eines DNS -Datensatzes mit einem eindeutigen Wert erstellt werden, wie von der Zertifikatbehörde angefordert, oder Sie können Ihrem Webserver eine Datei hinzufügen und bestätigen Sie, dass Sie ein gültiger Besitzer der Domain sind.

Dann verhandeln Sie ein TLS -Zertifikat mit der CA, und das führt zu einem privaten Schlüssel und einem öffentlichen TLS -Zertifikat, das Ihrer Domain ausgestellt wurde. Nachrichten, die von Ihrem privaten Schlüssel verschlüsselt sind. Dies ist als asymmetrische Verschlüsselung bekannt

Die Kundenbrowser wie Firefox und Chrome (manchmal sogar das Betriebssystem) haben die Kenntnisse der Zertifikatbehörden. Diese Informationen werden von Anfang an in den Browser/Gerät eingebrannt (dh wenn sie installiert sind), damit sie wissen, dass sie bestimmten CAS vertrauen können. Nun, wenn sie versuchen, sich mit www zu verbinden.Beispiel.com over https und siehe ein von beispielsweise digicert ausgestelltes Zertifikat kann der Browser tatsächlich überprüfen, ob die Tasten, die lokal gespeichert sind. Tatsächlich gibt es noch ein paar Vermittlerschritte, aber dies ist ein guter vereinfachte Überblick darüber, was passiert.

Jetzt, da das von www bereitgestellte Zertifikat vorgelegt wird.Beispiel.Com kann vertrauen. Bei der symmetrischen Verschlüsselung wird ein Schlüssel zum Verschlingen und Entschlüsselung verwendet und ist normalerweise viel schneller als sein asymmetrisches Gegenstück.

Nuancen

Wenn Sie die Idee von TLS und Internet Security an Sie ansprechen, können Sie sich weiter in dieses Thema befassen, indem Sie sich in LetSencrypt und deren kostenlosen TLS CA eingraben. Es gibt viel mehr Minutiat zu diesem gesamten Rigmarole als oben angegeben.

Weitere Ressourcen, die ich empfehlen kann, um mehr über TLS zu erfahren. Alle Ressourcen können kostenlos zugreifen und sehr billig implementieren (Sie müssen nur für die Registrierung von Domain -Namen und die stündlichen VPS -Gebühren bezahlen) und sammeln Erfahrung in der Erfahrung.