Certificate Authority là gì? Thế nào là Trust Hierarchy?

Certificate Authority là gì? Thế nào là Trust Hierarchy?

19/03/2021

Hiện nay, chứng chỉ SSL được xem là tiêu chuẩn chứng minh độ tin cậy của website. Từ đó đảm bảo được uy tín và tránh rủi ro. SSL được cấp bởi Certificate Authority (CA). Vậy Certificate Authority là gì?

Certificate Authority là gì?

Certificate Authority (tạm dịch: Nhà cung cấp chứng chỉ số – CA) cung cấp các Chứng chỉ số (Digital Certificate). Chứng chỉ số là các file dữ liệu nhỏ chứa thông tin xác thực. Chúng giúp trang web, người dùng và các thiết bị thể hiện danh tính trực tuyến của họ. CA đóng một vai trò quan trọng trong cách thức hoạt động của internet. Cùng với đó là cách các giao dịch đáng tin cậy, minh bạch có thể diễn ra trực tuyến. CA phát hành hàng triệu Chứng chỉ số hằng năm. Các Chứng chỉ này dùng để bảo vệ thông tin, mã hóa hàng tỷ giao dịch trên thế giới. Đồng thời còn cho phép các giao tiếp an toàn được diễn ra.

Certificate Authority là gì?

Chứng chỉ số SSL

Chứng chỉ SSL (SSL Certificate) là một loại Chứng chỉ số phổ biến. Chúng liên kết chi tiết quyền sở hữu của máy chủ web (và web) với các khóa mật mã. Các khóa này được sử dụng trong giao thức SSL/TLS. Chúng có tác dụng kích hoạt phiên bảo mật giữa trình duyệt và máy chủ web lưu trữ SSL. Để trình duyệt có thể tin cậy SSL và thiết lập phiên SSL/TLS mà không cần cảnh báo bảo mật, SSL phải chứa tên miền của trang web sử dụng nó (được cấp bởi CA và còn hạn).

Theo trang phân tích Netcraft, vào tháng 8 năm 2012, có gần 2.5 triệu Chứng chỉ SSL được sử dụng cho các trang web công khai. Trên thực tế, có lẽ con số thật sự còn lớn hơn – khoảng 1.5 lần – nhưng Netcraft không thể xác định được. Điều này làm cho SSL trở thành một trong những công nghệ bảo mật phổ biến nhất hiện nay.

Cách xác minh độ tin cậy của Certificate Authority là gì?

Các trình duyệt, hệ điều hành cũng như thiết bị di động vận hành các chương trình ”membership” CA đã được ủy quyền. Trong đó, CA phải đáp ứng các tiêu chí chi tiết để được chấp nhận là thành viên. Sau đó, CA có thể cấp SSL Certificate – được trình duyệt tin cậy – để mọi người và thiết bị đều dựa vào Chứng chỉ đó. Có một số lượng tương đối nhỏ các CA được ủy quyền từ các công ty tư nhân đến chính phủ. Thông thường, CA hoạt động càng lâu thì các Chứng chỉ càng được tin cậy.

Để các chứng chỉ được tin cậy một cách minh bạch, chúng phải có khả năng tương thích ngược với các trình duyệt cũ. Đặc biệt là trên các thiết bị di động đời cũ hơn. Đặc điểm này được gọi là tính phổ biến. Đồng thời cũng là một trong những tính năng quan trọng nhất mà CA có thể cung cấp.

Trước khi cấp một Chứng chỉ số, DA sẽ tiến hành một số kiểm tra về danh tính của người nộp đơn. Việc kiểm tra liên quan đến loại chứng chỉ đang được áp dụng. Lấy ví dụ, chứng chỉ SSL xác thực bằng tên miền (Domain Validation – DV) sẽ xác minh quyền sở hữu tên miền được đưa vào Certificate. Trong khi đó, SSL xác thực mở rộng (EV – Extended Validation) sẽ bao gồm thông tin bổ sung về công ty. Các thông tin này sẽ được xác thực bởi CA qua nhiều lần kiểm tra.

PKI và Trust Hierarchy

Các trình duyệt và thiết bị tin tưởng một CA bằng cách chấp nhận root Certificate vào kho lưu trữ gốc của nó. Về cơ bản đó là một cơ sở dữ liệu, gồm các CA đã được phê duyệt, được cài sẵn với trình duyệt hay thiết bị. Lấy ví dụ, Windows cũng vận hành một kho lưu trữ gốc, giống như Apple hay Mozilla. Ngoài ra, mỗi nhà cung cấp dịch vụ di động cũng thường vận hành một kho lưu trữ như vậy.

Các CA sử dụng các Root Certificate được cài đặt sẵn này để cấp Intermediate Root Certificate và end entity Digital Certificate. CA nhận các Certificate Signing Request (CSR), xác thực quyền sở hữu, cấp Certificate và công bố trạng thái hiệu lực. Từ đó, bất kỳ ai dựa trên Certificate đều có thể biết được thời gian hiệu lực của nó.

CA thường cạo ra một số Chứng chỉ gốc CA trung gian (Intermediate CA – ICA). Chúng được sử dụng để cấp end entity certificate, ví dụ như các SSL Certificate. Đây được gọi là hệ thống phân cấp tin cậy (Trust Heriarchy).

CA không nên cấp Digital Certificate trực tiếp từ root được phân phối cho các nhà cung cấp dịch vụ. Thay vào đó, nó thông qua một hay nhiều ICA. Sở dĩ là vì CA phải tuân theo các khuyến nghị bảo mật tốt nhất để giảm thiểu tối đa rủi ro từ những kẻ tấn công.

Điều gì xảy ra khi khởi chạy một CA?

Là một trusted anchor của internet, CA rõ ràng có trách nhiệm vô cùng lớn. Vì vậy, việc chạy một CA trong các yêu cầu có thể kiểm tra là một nhiệm vụ phức tạp. Cơ sở hạ tầng của CA bao gồm các yếu tố hoạt động, phần cứng, phần mềm, khuôn khổ chính sách. Ngoài ra còn có kiểm toán, cơ sở hạ tầng bảo mật, nhân sự… Nói chung, các thành phần đó được gọi là PKI (Public Key Infrastructure).

Public Key Infrastructure (PKI)

Các Chứng chỉ có nhiều định dạng khác nhau, từ đó có thể hỗ trợ xác thực mọi người và thiết bị, bên cạnh SSL. Đồng thời, nó còn làm tăng tính hợp pháp cho code và các tài liệu.

Theo GlobalSign.

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments