SSL Сертифікати: додатково про SSL
Алгоритм RSA
RSA – криптографічна система асиметричного ключа, яка забезпечує шифрування даних та підтримку цифрових підписів. Криптосистема RSA розроблена в 1977 году і названа на честь її розробників Ronald Rivest, Adi Shamir та Leonard Adleman.
Просте число - це натуральне число, що має рівно два натуральних дільники: 1 і саме це число . Тобто його можна поділити без остачі лише в тому випадку, якщо ділити число саме на себе або на одиницю.
Алгоритм RSA працює наступним чином: беруться два достатньо великі прості числа p і q та обчислюється їх добуток n = p · q; n називається модулем.
Потім обирається число e, що задовольняє умові
1< e < (p - 1) · (q - 1)
та не має спільних дільників окрім 1 (взаємно просте) з числом
(p - 1) · (q - 1)
потім обчислюється число d таким чином, що
(e · d - 1) ділиться на (p - 1) · (q – 1)
e – відкритий (public) показник
d – приватний (private) показник
(n; e) – відкритий (public) ключ
(n; d) – секретний/приватний (private) ключ
Дільники p та q можна або знищити, або зберегти разом із секретним ключем. Якби існували ефективні методи розкладання на співмножники, то, розклавши n на співмножники p та q, можна було б отримати секретний ключ d. Виходячи із цієї складної задачі розкладання на співмножники (практично нерозвязної), криптосистема RSA і володіє високою надійністю. На сьогодні не існує ефективного способу пошуку співмножників p · q для злому криптографічного алгоритму RSA.
Стандарт Х.509
Стандарт X.509 був прийнятий в 1988 році. Він визначає жорстку ієрархічну систему сертифікаційних центрів, які випускають сертифікати. Цей стандарт схожий на моделі веб-довіри, як PGP, в якому кожен (а не лише сертифікаційний центр) може поставити свій підпис, таким чином підтвердивши законність інших сертифікатів, що використовують ключі.
За системою X.509, сертифікаційний центр видає сертифікат, закріплюючи публічний ключ за конкретним іменем, чи за альтернативним іменем (адреса електронної пошти чи DNS-запис).
Деякі веб-браузери, наприклад, Internet Explorer, Netscape/Mozilla та Opera йдуть із встановленими (інтегрованими) root-сертифікатами. Тож SSL сертифікати крупних розробників, які заплатили за інтеграцію с веб-браузерами, будуть працювати миттєво. Насправді, власник браузера самостійно визначає, який сертифікаційний центр буде довірчою третьою стороною для користувачів браузера. Хоча root-сертифікати можна видалити чи відключити у браузері, користувачі дуже рідко так роблять.
Система X.509 включає також правила виконання списку анульованих сертифікатів; цей фактор часто не враховують, використовуючи систему відкритих ключів. Затверджений комітетом IETF метод для перевірки справжності сертифікату називається протоколом он-лайн перевірки статусу сертифікату (Online Certificate Status Protocol (OCSP)). IETF - відкрите співтовариство проектувальників, вчених, мережевих операторів та провайдерів, створене в 1986, яке займається розвитком протоколів та архітектури Інтернету.
Структура цифрового сертифікату стандарту X.509 виглядає наступним чином:
- Сертифікат
- Версія
- Серійний номер
- Ідентифікатор алгоритму
- Емітент
- Термін придатності
- Не раніше ніж
- Не пізніше ніж
- Заголовок (subject)
- Відповідна інформація про відкритий ключ
- Алгоритм відкритого ключа
- Відповідний відкритий ключ
- Унікальний ідентифікатор емітента (необовязково)
- Відповідний унікальний ідентифікатор (необовязково)
- Розширення (необовязково)
- …
- Алгоритм підпису сертифікатів
- Підпис сертифікату
Якщо у Вас виникли запитання з приводу роботи SSL чи захисту Вашого сайту – можете цілодобово звертатися в наш відділ технічної підтримки. Щоб замовити сертифікат, будь ласка, звертайтесь у відділ продажу.
Використання матеріалів HostPro.ua дозволяється за умови посилання на джерело.