hvad er et digitalt certifikat?
et digitalt certifikat, også kendt som et offentligt nøglecertifikat, bruges til kryptografisk at forbinde ejerskab af en offentlig nøgle med den enhed, der ejer den. Digitale certifikater er til deling af offentlige nøgler, der skal bruges til kryptering og godkendelse.
digitale certifikater omfatter den offentlige nøgle, der certificeres, identificerende oplysninger om den enhed, der ejer den offentlige nøgle, metadata vedrørende det digitale certifikat og en digital signatur af den offentlige nøgle, som certifikatudstederen oprettede.
distribution, godkendelse og tilbagekaldelse af digitale certifikater er de primære funktioner i public key infrastructure (PKI), det system, der distribuerer og godkender offentlige nøgler.
offentlig nøglekryptografi afhænger af nøglepar: en privat nøgle, der skal opbevares af ejeren og bruges til signering og dekryptering, og en offentlig nøgle, der kan bruges til kryptering af data sendt til ejeren af den offentlige nøgle eller autentificering af certifikatindehaverens underskrevne data. Det digitale certifikat gør det muligt for enheder at dele deres offentlige nøgle, så den kan godkendes.
digitale certifikater bruges i public key kryptografi funktioner oftest til initialisering Secure Sockets Layer (SSL) forbindelser mellem internetsøgere og internetservere. Digitale certifikater bruges også til deling af nøgler, der bruges til offentlig nøglekryptering og godkendelse af digitale signaturer.
alle større internetservere og internetservere bruger digitale certifikater til at sikre, at uautoriserede aktører ikke har ændret offentliggjort indhold, og til at dele nøgler til kryptering og dekryptering af internetindhold. Digitale certifikater bruges også i andre sammenhænge, online og offline, til at give kryptografisk sikkerhed og databeskyttelse.
digitale certifikater, der understøttes af mobile driftsmiljøer, bærbare computere, tabletcomputere, internet of things (IoT) enheder og netværk og programmer hjælper med at beskytte hjemmesider, trådløse netværk og virtuelle private netværk.
hvordan anvendes digitale certifikater?
digitale certifikater anvendes på følgende måder:
- kredit-og betalingskort bruger chip-indlejrede digitale certifikater, der forbinder med Købmænd og banker for at sikre, at de udførte transaktioner er sikre og autentiske.
- digitale betalingsvirksomheder bruger digitale certifikater til at autentificere deres automatiske kasseapparater, kiosker og salgsstedsudstyr i marken med en central server i deres datacenter.
- hjemmesider bruger digitale certifikater til domænevalidering for at vise, at de er pålidelige og autentiske.
- digitale certifikater bruges i sikker e-mail til at identificere en bruger til en anden og kan også bruges til elektronisk dokumentsignering. Afsenderen signerer e-mailen digitalt, og modtageren verificerer signaturen.
- producenter af computerudstyr integrerer digitale certifikater i kabelmodemer for at forhindre tyveri af bredbåndstjeneste gennem kloning af enheder.
efterhånden som cybertruslerne stiger, overvejer flere virksomheder at vedhæfte digitale certifikater til alle de IoT-enheder, der opererer på kanten og inden for deres virksomheder. Målet er at forhindre cybertrusler og beskytte intellektuel ejendomsret.
Hvem kan udstede et digitalt certifikat?
en enhed kan oprette sin egen PKI og udstede sine egne digitale certifikater og oprette et selvsigneret certifikat. Denne tilgang kan være rimelig, når en organisation opretholder sin egen PKI til at udstede certifikater til eget internt brug. Men certifikatmyndigheder (CAs) – betragtes som betroede tredjeparter i forbindelse med en PKI-udsteder de fleste digitale certifikater. Brug af en betroet tredjepart til at udstede digitale certifikater gør det muligt for enkeltpersoner at udvide deres tillid til CA til de digitale certifikater, den udsteder.
digitale certifikater vs. digitale signaturer
offentlig nøglekryptografi understøtter flere forskellige funktioner, herunder kryptering og godkendelse, og muliggør en digital signatur. Digitale signaturer genereres ved hjælp af algoritmer til signering af data, så en modtager uigenkaldeligt kan bekræfte, at dataene blev underskrevet af en bestemt offentlig nøgleindehaver.
digitale signaturer genereres ved hashing af de data, der skal underskrives med en envejs kryptografisk hash; resultatet krypteres derefter med underskriverens private nøgle. Den digitale signatur inkorporerer denne krypterede hash, som kun kan godkendes eller verificeres ved at bruge afsenderens offentlige nøgle til at dekryptere den digitale signatur og derefter køre den samme envejs hashingalgoritme på det indhold, der blev underskrevet. De to hashes sammenlignes derefter. Hvis de matcher, beviser det, at dataene var uændrede fra da de blev underskrevet, og at afsenderen er ejer af det offentlige nøglepar, der blev brugt til at underskrive det.
en digital signatur kan afhænge af distributionen af en offentlig nøgle i form af et digitalt certifikat, men det er ikke obligatorisk, at den offentlige nøgle overføres i denne form. Digitale certifikater underskrives dog digitalt, og de bør ikke have tillid til, medmindre signaturen kan verificeres.
hvad er de forskellige typer af digitale certifikater?
internetservere og internetservere bruger tre typer digitale certifikater til at autentificere over Internettet. Disse digitale certifikater bruges til at linke en internetserver til et domæne til den person eller organisation, der ejer domænet. De kaldes normalt SSL-certifikater, selvom Transport Layer Security protocol har erstattet SSL. De tre typer er følgende:
- Domænevaliderede (DV) SSL-certifikater giver mindst mulig sikkerhed for indehaveren af certifikatet. Ansøgere til DV SSL-certifikater behøver kun at demonstrere, at de har ret til at bruge domænenavnet. Mens disse certifikater kan sikre, at certifikatindehaveren sender og modtager data, giver de ingen garantier for, hvem denne enhed er.
- Organisationsvaliderede (OV) SSL-certifikater giver yderligere forsikringer om certifikatindehaveren. De bekræfter, at ansøgeren har ret til at bruge domænet. Ov SSL-certifikatansøgere gennemgår også yderligere bekræftelse af deres ejerskab af domænet.
- udvidet Validering (EV) SSL-certifikater udstedes først, efter at ansøgeren har bevist deres identitet til CA ‘ S tilfredshed. Kontrolprocessen verificerer eksistensen af den enhed, der ansøger om certifikatet, sikrer, at identiteten matcher officielle poster og er autoriseret til at bruge domænet, og bekræfter, at domæneejeren har godkendt udstedelse af certifikatet.
de nøjagtige metoder og kriterier, som CAs følger for at levere disse typer SSL-certifikater til internetdomæner, udvikler sig, efterhånden som CA-branchen tilpasser sig nye forhold og applikationer.
der er også andre typer digitale certifikater, der bruges til forskellige formål:
- Kodesigneringscertifikater kan udstedes til organisationer eller enkeltpersoner, der udgiver programmer. Disse certifikater bruges til at dele offentlige nøgler, der underskriver programkode, herunder programrettelser og programopdateringer. Kodesigneringscertifikater bekræfter ægtheden af den underskrevne kode.
- klientcertifikater, også kaldet et digitalt ID, udstedes til enkeltpersoner for at binde deres identitet til den offentlige nøgle i certifikatet. Enkeltpersoner kan bruge disse certifikater til digitalt at underskrive meddelelser eller andre data. De kan også bruge deres private nøgler til at kryptere data, som modtagerne kan dekryptere ved hjælp af den offentlige nøgle i klientcertifikatet.
digitale certifikatfordele
digitale certifikater giver følgende fordele:
- privatliv. Når du krypterer kommunikation, beskytter digitale certifikater følsomme data og forhindrer, at oplysningerne bliver set af dem, der ikke er autoriseret til at se dem. Denne teknologi beskytter virksomheder og enkeltpersoner med store trover af følsomme data.
- brugervenlighed. Den digitale certificeringsproces er stort set automatiseret.
- omkostningseffektivitet. Sammenlignet med andre former for kryptering og certificering er digitale certifikater billigere. De fleste digitale certifikater koster mindre end $100 årligt.
- fleksibilitet. Digitale certifikater behøver ikke købes fra en CA. For organisationer, der er interesseret i at oprette og vedligeholde deres egen interne pulje af digitale certifikater, er en gør-det-selv-tilgang til oprettelse af digitalt certifikat mulig.
digitale certifikatbegrænsninger
nogle begrænsninger af digitale certifikater inkluderer følgende:
- sikkerhed. Som enhver anden sikkerhedsafskrækkende virkning kan digitale certifikater hackes. Den mest logiske måde for et massehack at forekomme er, hvis den udstedende digitale CA er hacket. Dette giver dårlige aktører en rampe til at trænge ind i lageret af digitale certifikater, som myndigheden er vært for.
- langsom ydeevne. Det tager tid at godkende digitale certifikater og kryptere og dekryptere. Ventetiden kan være frustrerende.
- Integration. Digitale certifikater er ikke enkeltstående teknologi. For at være effektive skal de integreres korrekt med systemer, data, applikationer, netværk og udstyr. Dette er ikke nogen lille opgave.
- Ledelse. Jo flere digitale certifikater en virksomhed bruger, jo større er behovet for at styre dem og spore, hvilke der udløber og skal fornyes. Tredjeparter kan levere disse tjenester, eller virksomheder kan vælge at udføre jobbet selv. Men det kan være dyrt.
Lær, hvordan timingangreb kan bruges til at knække krypteringsnøgler.