Открыть сервис

Цифровой сертификат

Цифровой сертификат — это электронный документ, удостоверяющий принадлежность определённой информации (например, открытого ключа шифрования) конкретному субъекту (физическому или юридическому лицу, устройству, веб-сайту). Цифровые сертификаты являются основой инфраструктуры открытых ключей (PKI) и используются для обеспечения конфиденциальности, целостности и аутентичности данных в информационных системах, в том числе в сети Интернет.

История

Концепция цифровых сертификатов возникла из потребности в безопасной аутентификации в компьютерных сетях. В 1976 году Уитфилд Диффи и Мартин Хеллман опубликовали работу, заложившую основы криптографии с открытым ключом, что создало теоретическую базу для сертификатов. Однако практическая реализация потребовала создания доверенных третьих сторон — удостоверяющих центров.

В 1988 году Международный союз электросвязи (ITU-T) опубликовал стандарт X.509, который определил формат цифровых сертификатов. Этот стандарт стал наиболее распространённым и используется по сей день. В 1990-х годах, с развитием коммерческого Интернета и электронной коммерции, возникла необходимость в массовом выпуске сертификатов для защиты веб-трафика. Компания Netscape Communications разработала протокол SSL (Secure Sockets Layer), который требовал использования сертификатов для аутентификации серверов. С 1995 года начали активно появляться коммерческие удостоверяющие центры, такие как VeriSign (ныне DigiCert).

В России развитие цифровых сертификатов связано с принятием Федерального закона «Об электронной подписи» (№ 63-ФЗ) в 2011 году, который установил правовые основы использования усиленных квалифицированных электронных подписей (УКЭП) на базе сертификатов, выпускаемых аккредитованными удостоверяющими центрами.

Классификация

Цифровые сертификаты классифицируются по различным признакам: по сфере применения, по степени проверки владельца, по типу субъекта.

По сфере применения

По степени проверки владельца (для TLS/SSL)

По типу субъекта

Устройство и формат

Наиболее распространённый формат цифровых сертификатов определён стандартом X.509 версии 3. Сертификат содержит следующие основные поля:

Сертификат подписывается закрытым ключом удостоверяющего центра, что гарантирует его подлинность и целостность. Цепочка доверия строится от корневого сертификата (самоподписанного, хранящегося в доверенном хранилище операционной системы или браузера) через промежуточные сертификаты к конечному сертификату субъекта.

Применение и значение

В веб-технологиях

Основное применение цифровых сертификатов — обеспечение безопасного соединения по протоколу HTTPS. Сертификат позволяет браузеру:

  1. Проверить, что сайт действительно принадлежит тому, за кого себя выдаёт (аутентификация).
  2. Установить зашифрованное соединение, защищающее данные от перехвата (конфиденциальность).
  3. Обнаружить, не были ли данные изменены при передаче (целостность).

В электронном документообороте

В России цифровые сертификаты, выпущенные аккредитованными удостоверяющими центрами, являются основой для усиленной квалифицированной электронной подписи (УКЭП). Такая подпись юридически приравнивается к собственноручной подписи на бумажном документе. Она используется для:

В корпоративной безопасности

Сертификаты используются для аутентификации пользователей в корпоративных сетях (802.1X, VPN), для подписания внутренних документов и кода, а также для шифрования данных на устройствах (BitLocker, FileVault).

Критика и уязвимости

Цифровые сертификаты не лишены недостатков. Основные проблемы связаны с доверием к удостоверяющим центрам. Если УЦ скомпрометирован или выпускает сертификаты без должной проверки, злоумышленник может получить сертификат на чужой домен и проводить атаки типа «человек посередине» (MITM).

Известные инциденты:

Другой проблемой является сложность управления сертификатами в крупных организациях. Потеря контроля над закрытыми ключами, истечение срока действия сертификатов (что может привести к остановке веб-сайтов или сервисов) и необходимость своевременного отзыва скомпрометированных сертификатов требуют развитой инфраструктуры.

Интересные факты

Источники

  1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  2. Стандарт ITU-T X.509 (08/2005) — Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks.
  3. Методические рекомендации по обеспечению безопасности использования цифровых сертификатов (ФСТЭК России).
  4. Отчёты о безопасности и инцидентах, связанных с PKI (Google Online Security Blog, Mozilla Security Blog).
  5. Материалы Национального удостоверяющего центра (Минцифры России).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →