Открыть сервис

Промежуточный удостоверяющий центр

Промежуточный удостоверяющий центр (ПУЦ, англ. intermediate certification authority, ICA) — это компонент иерархической инфраструктуры открытых ключей (PKI), представляющий собой сертификат, подписанный корневым удостоверяющим центром (КУЦ) и используемый для выпуска сертификатов конечным пользователям (клиентам, серверам, устройствам). ПУЦ занимает промежуточное положение между корневым и конечным уровнями, обеспечивая разделение зон ответственности, повышение безопасности и масштабируемость системы управления цифровыми сертификатами.

Назначение и роль в PKI

В классической модели PKI существует строгая иерархия доверия. Корневой удостоверяющий центр является вершиной доверия: его самоподписанный сертификат (корневой сертификат) является эталоном, которому доверяют все участники системы. Выпуск сертификатов непосредственно от корневого центра сопряжён с рисками: компрометация КУЦ ставит под угрозу всю цепочку доверия. Промежуточные центры решают эту проблему, выступая в роли доверенных посредников.

Основные функции ПУЦ:

Виды промежуточных удостоверяющих центров

Классификация ПУЦ проводится по нескольким признакам.

По положению в иерархии

По сфере применения

Устройство и технические характеристики

Сертификат ПУЦ, как и любой сертификат X.509, содержит набор полей:

ПУЦ может иметь собственный список отозванных сертификатов (CRL) или использовать онлайн-протокол статуса сертификата (OCSP-ответчик). Для повышения отказоустойчивости ПУЦ часто развёртываются в кластерной конфигурации с балансировкой нагрузки.

Процесс выпуска и проверки сертификатов

Выпуск сертификата ПУЦ

  1. Администратор корневого центра генерирует запрос на создание сертификата для ПУЦ (CSR).
  2. Корневой центр проверяет параметры запроса (алгоритм, срок, политики) и подписывает его своим закрытым ключом.
  3. Полученный сертификат ПУЦ устанавливается на сервер, который будет выполнять функции выпуска конечных сертификатов.
  4. Корневой сертификат и сертификат ПУЦ связываются в цепочку доверия.

Выпуск конечного сертификата

  1. Конечный пользователь (веб-сервер, клиент) генерирует пару ключей и отправляет CSR в ПУЦ.
  2. ПУЦ проверяет личность пользователя (в зависимости от уровня проверки: доменная, организационная, расширенная).
  3. ПУЦ подписывает конечный сертификат своим закрытым ключом.
  4. Пользователь получает сертификат, который вместе с сертификатом ПУЦ и корневым сертификатом образует цепочку.

Проверка цепочки доверия

При проверке сертификата (например, браузером при подключении к HTTPS-сайту) выполняется последовательная проверка:

Если любое звено цепочки оказывается недействительным (просрочено, отозвано, не соответствует политике), проверка завершается ошибкой.

Преимущества и недостатки

Преимущества

Недостатки

Примеры использования

Веб-сертификаты SSL/TLS

Большинство публичных центров сертификации (например, GlobalSign, Sectigo, Let's Encrypt) используют двухуровневую или трёхуровневую иерархию. Корневой сертификат хранится в защищённом хранилище, а промежуточные сертификаты используются для ежедневного выпуска сертификатов для миллионов веб-сайтов. Например, Let's Encrypt использует промежуточный сертификат «R3», подписанный корневым «ISRG Root X1».

Корпоративные PKI

В крупных компаниях (например, «Сбербанк», «Росатом», «Газпром») развёрнуты собственные PKI с несколькими ПУЦ. Один ПУЦ может выпускать сертификаты для сотрудников (аутентификация в VPN, электронная почта), другой — для серверов внутренних приложений, третий — для устройств Интернета вещей. Это позволяет централизованно управлять политиками безопасности.

Государственные информационные системы

В России в рамках инфраструктуры электронного правительства действуют удостоверяющие центры, аккредитованные Минцифры. Промежуточные центры используются для выпуска сертификатов квалифицированной электронной подписи (КЭП) для юридических лиц и индивидуальных предпринимателей. Цепочка доверия восходит к головному удостоверяющему центру (ГУЦ), сертификат которого включён в единый реестр.

Критика и уязвимости

Основная критика применения ПУЦ связана с возможностью злоупотреблений со стороны администраторов центров. Если злоумышленник получает контроль над ПУЦ, он может выпускать поддельные сертификаты для любых доменов, что позволяет проводить атаки «человек посередине» (MITM). Для снижения риска применяются:

См. также

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →