vad är ett digitalt certifikat?
ett digitalt certifikat, även känt som ett public key-certifikat, används för att kryptografiskt länka äganderätten till en public key med den enhet som äger den. Digitala certifikat är för att dela offentliga nycklar som ska användas för kryptering och autentisering.
digitala certifikat inkluderar den offentliga nyckeln som certifieras, identifierande information om den enhet som äger den offentliga nyckeln, metadata relaterade till det digitala certifikatet och en digital signatur av den offentliga nyckeln som certifikatutgivaren skapade.
distribution, autentisering och återkallande av digitala certifikat är de primära funktionerna i public key infrastructure (PKI), systemet som distribuerar och autentiserar offentliga nycklar.
kryptering med öppen nyckel beror på nyckelpar: en privat nyckel som ska innehas av ägaren och används för signering och dekryptering och en offentlig nyckel som kan användas för att kryptera data som skickas till den offentliga nyckelägaren eller autentisera certifikatinnehavarens signerade data. Det digitala certifikatet gör det möjligt för enheter att dela sin offentliga nyckel så att den kan autentiseras.
digitala certifikat används i offentliga nyckelkryptografifunktioner som oftast används för att initiera SSL-anslutningar (Secure Sockets Layer) mellan webbläsare och webbservrar. Digitala certifikat används också för att dela nycklar som används för offentlig nyckelkryptering och autentisering av digitala signaturer.
alla större webbläsare och webbservrar använder digitala certifikat för att garantera att obehöriga aktörer inte har ändrat publicerat innehåll och för att dela nycklar för kryptering och dekryptering av webbinnehåll. Digitala certifikat används också i andra sammanhang, online och offline, för att tillhandahålla kryptografisk säkerhet och datasekretess.
digitala certifikat som stöds av mobila driftsmiljöer, bärbara datorer, surfplattor, Internet of things (IoT) – enheter och nätverks-och mjukvaruapplikationer hjälper till att skydda webbplatser, trådlösa nätverk och virtuella privata nätverk.
hur används digitala certifikat?
digitala certifikat används på följande sätt:
- kredit-och betalkort använder chip-inbäddade digitala certifikat som ansluter till handlare och banker för att säkerställa att transaktionerna är säkra och autentiska.
- digitala betalningsföretag använder digitala certifikat för att autentisera sina automatiserade tellermaskiner, kiosker och försäljningsutrustning i fältet med en central server i sitt datacenter.
- webbplatser använder digitala certifikat för domänvalidering för att visa att de är betrodda och autentiska.
- digitala certifikat används i säker e-post för att identifiera en användare till en annan och kan också användas för elektronisk dokumentsignering. Avsändaren signerar e-postmeddelandet digitalt och mottagaren verifierar signaturen.
- tillverkare av datormaskinvara bäddar in digitala certifikat i kabelmodem för att förhindra stöld av bredbandstjänster genom kloning av enheter.
när cyberhot ökar överväger fler företag att bifoga digitala certifikat till alla IoT-enheter som arbetar i kanten och inom sina företag. Målet är att förebygga cyberhot och skydda immateriella rättigheter.
Vem kan utfärda ett digitalt certifikat?
en enhet kan skapa sin egen PKI och utfärda sina egna digitala certifikat och skapa ett självsignerat certifikat. Detta tillvägagångssätt kan vara rimligt när en organisation upprätthåller sin egen PKI för att utfärda certifikat för egen intern användning. Men certifikatmyndigheter (cas) – som anses vara betrodda tredje parter i samband med en PKI-utfärdar de flesta digitala certifikat. Genom att använda en betrodd tredje part för att utfärda digitala certifikat kan individer utöka sitt förtroende för certifikatutfärdaren till de digitala certifikat som den utfärdar.
digitala certifikat vs. digitala signaturer
kryptering med öppen nyckel stöder flera olika funktioner, inklusive kryptering och autentisering, och möjliggör en digital signatur. Digitala signaturer genereras med hjälp av algoritmer för signering av data så att en mottagare kan oåterkalleligt bekräfta att data har signerats av en viss offentlig nyckelhållare.
digitala signaturer genereras genom att hashing data som ska signeras med en enkelriktad kryptografisk hash; resultatet krypteras sedan med signerarens privata nyckel. Den digitala signaturen innehåller denna krypterade hash, som bara kan autentiseras eller verifieras genom att använda avsändarens offentliga nyckel för att dekryptera den digitala signaturen och sedan köra samma envägs hashningsalgoritm på innehållet som undertecknades. De två hasharna jämförs sedan. Om de matchar bevisar det att uppgifterna var oförändrade från det att de undertecknades och att avsändaren är ägare till det offentliga nyckelparet som används för att underteckna det.
en digital signatur kan bero på distributionen av en offentlig nyckel i form av ett digitalt certifikat, men det är inte obligatoriskt att den offentliga nyckeln överförs i den formen. Digitala certifikat signeras dock digitalt, och de bör inte lita på om inte signaturen kan verifieras.
vilka är de olika typerna av digitala certifikat?
webbservrar och webbläsare använder tre typer av digitala certifikat för att autentisera över internet. Dessa digitala certifikat används för att länka en webbserver för en domän till den person eller organisation som äger domänen. De kallas vanligtvis SSL-certifikat trots att Transport Layer Security protocol har ersatt SSL. De tre typerna är följande:
- Domänvaliderade (DV) SSL-certifikat erbjuder minst säkerhet om certifikatets innehavare. Sökande till DV SSL-certifikat behöver bara visa att de har rätt att använda domännamnet. Även om dessa certifikat kan säkerställa att certifikatinnehavaren skickar och tar emot data, ger de inga garantier om vem den enheten är.
- Organisationsvaliderade (OV) SSL-certifikat ger ytterligare försäkringar om certifikatinnehavaren. De bekräftar att sökanden har rätt att använda domänen. Ov SSL-certifikatsökande genomgår också ytterligare bekräftelse på sitt ägande av domänen.
- Extended validation (EV) SSL-certifikat utfärdas först efter att sökanden har bevisat sin identitet till CA: s tillfredsställelse. Granskningsprocessen verifierar förekomsten av den enhet som ansöker om certifikatet, säkerställer att identiteten matchar officiella register och är behörig att använda domänen och bekräftar att domänägaren har godkänt utfärdandet av certifikatet.
de exakta metoderna och kriterierna CAs följer för att tillhandahålla dessa typer av SSL-certifikat för webbdomäner utvecklas när CA-industrin anpassar sig till nya förhållanden och applikationer.
det finns också andra typer av digitala certifikat som används för olika ändamål:
- Kodsigneringscertifikat kan utfärdas till organisationer eller individer som publicerar programvara. Dessa certifikat används för att dela offentliga nycklar som signerar programkod, inklusive patchar och programuppdateringar. Kodsigneringscertifikat intygar äktheten hos den signerade koden.
- klientcertifikat, även kallat digitalt ID, utfärdas till individer för att binda sin identitet till den offentliga nyckeln i certifikatet. Individer kan använda dessa certifikat för att digitalt signera meddelanden eller annan data. De kan också använda sina privata nycklar för att kryptera data som mottagarna kan dekryptera med den offentliga nyckeln i klientcertifikatet.
digitala certifikatfördelar
digitala certifikat ger följande fördelar:
- integritet. När du krypterar kommunikation skyddar digitala certifikat känsliga data och förhindrar att informationen ses av dem som är obehöriga att se den. Denna teknik skyddar företag och privatpersoner med stora mängder känslig data.
- användarvänlighet. Den digitala certifieringsprocessen är till stor del automatiserad.
- kostnadseffektivitet. Jämfört med andra former av kryptering och certifiering är digitala certifikat billigare. De flesta digitala certifikat kostar mindre än $100 årligen.
- flexibilitet. Digitala certifikat behöver inte köpas från en CA. För organisationer som är intresserade av att skapa och underhålla sin egen interna pool av digitala certifikat är en gör-det-själv-strategi för skapande av digitala certifikat möjlig.
digitala certifikatbegränsningar
vissa begränsningar av digitala certifikat inkluderar följande:
- säkerhet. Liksom alla andra säkerhetsavskräckande kan digitala certifikat hackas. Det mest logiska sättet för en masshack att inträffa är om den utfärdande digitala CA hackas. Detta ger dåliga aktörer en ramp i att tränga in i förvaret med digitala certifikat som myndigheten är värd för.
- långsam prestanda. Det tar tid att autentisera digitala certifikat och kryptera och dekryptera. Väntetiden kan vara frustrerande.
- Integration. Digitala certifikat är inte fristående teknik. För att vara effektiva måste de integreras ordentligt med system, data, applikationer, nätverk och hårdvara. Detta är ingen liten uppgift.
- förvaltning. Ju fler digitala certifikat ett företag använder, desto större är behovet av att hantera dem och att spåra vilka som löper ut och behöver förnyas. Tredje part kan tillhandahålla dessa tjänster, eller företag kan välja att göra jobbet själva. Men det kan vara dyrt.
lär dig hur tidsattacker kan användas för att knäcka krypteringsnycklar.