Hiện nay, chứng chỉ SSL được xem là tiêu chuẩn chứng minh tính xác thực của website. Từ đó đảm bảo được uy tín và tránh rủi ro. SSL được cấp bởi Certificate Authority (CA). Vậy Certificate Authority là gì?
Certificate Authority là gì?
Certificate Authority (tạm dịch: Nhà cung cấp chứng chỉ số – CA) cung cấp các Chứng chỉ số (Digital Certificate). Chứng chỉ số là các tệp dữ liệu nhỏ chứa thông tin xác thực. Chúng giúp trang web, người dùng và các thiết bị thể hiện danh tính trực tuyến của họ. CA đóng một vai trò quan trọng trong cách thức hoạt động của internet. Cùng với đó là cách các giao dịch đáng tin cậy, minh bạch có thể diễn ra trực tuyến. CA phát hành hàng triệu Chứng chỉ số hằng năm. Các Chứng chỉ này dùng để bảo vệ thông tin, mã hóa hàng tỷ giao dịch trên thế giới. Đồng thời còn cho phép các giao tiếp an toàn được diễn ra.
Certificate Authority là gì?
Chứng chỉ số SSL
Chứng chỉ SSL (SSL Certificate) là một loại Chứng chỉ số phổ biến. Chúng liên kết chi tiết quyền sở hữu của máy chủ web (và web) với các khóa mật mã (cryto key). Các khóa này được sử dụng trong giao thức SSL/TLS. Chúng có tác dụng kích hoạt phiên bảo mật giữa trình duyệt và máy chủ web SSL. Để trình duyệt có thể tin cậy SSL và thiết lập SSL/TLS session mà không bị cảnh báo bảo mật, SSL phải chứa tên miền của trang web sử dụng nó (được cấp bởi CA và còn hạn).
Theo trang phân tích Netcraft, vào tháng 8 năm 2012, có gần 2.5 triệu Chứng chỉ SSL được sử dụng cho các trang web công khai. Trên thực tế, có lẽ con số thật sự còn lớn hơn – khoảng 1.5 lần – nhưng Netcraft không thể xác định được. Điều này làm cho SSL trở thành một trong những công nghệ bảo mật phổ biến nhất hiện nay.
Cách xác minh độ tin cậy của Certificate Authority là gì?
Các trình duyệt, hệ điều hành cũng như thiết bị di động vận hành các chương trình ”membership” CA đã được ủy quyền. Trong đó, CA phải đáp ứng các tiêu chí chi tiết để được chấp nhận là thành viên. Sau đó, CA có thể cấp Chứng chỉ SSL – được trình duyệt tin cậy – để mọi người và thiết bị đều dựa vào Chứng chỉ đó. Có một số lượng tương đối nhỏ các CA được ủy quyền từ các công ty tư nhân đến chính phủ. Thông thường, CA hoạt động càng lâu thì các Chứng chỉ càng được tin cậy.
Để các chứng chỉ được tin cậy một cách minh bạch, chúng phải có khả năng tương thích ngược với các trình duyệt cũ. Đặc biệt là trên các thiết bị di động đời cũ hơn. Đặc điểm này được gọi là tính phổ biến. Đồng thời cũng là một trong những tính năng quan trọng nhất mà CA có thể cung cấp.
Trước khi cấp một Chứng chỉ số, CA sẽ tiến hành một số kiểm tra về danh tính của người nộp đơn. Việc kiểm tra liên quan đến loại chứng chỉ đang được áp dụng. Lấy ví dụ, chứng chỉ SSL xác thực miền sẽ xác minh quyền sở hữu tên miền được đưa vào Chứng chỉ. Trong khi đó, SSL xác thực mở rộng sẽ bao gồm thông tin bổ sung về công ty. Các thông tin này sẽ được xác thực bởi CA qua nhiều lần kiểm tra.
PKI và Trust Hierarchy
Các trình duyệt và thiết bị tin tưởng một CA bằng cách chấp nhận root certificate (root certificate) vào kho lưu trữ gốc của nó. Về cơ bản thì là một cơ sở dữ liệu, gồm các CA đã được phê duyệt, được cài sẵn với trình duyệt hay thiết bị. Lấy ví dụ, Windows cũng vận hành một kho lưu trữ gốc, giống như Apple hay Mozilla. Ngoài ra, mỗi nhà cung cấp dịch vụ di động cũng thường vận hành một kho lưu trữ như vậy.
Các CA sử dụng root certificate được cài đặt sẵn này để cấp root certificate trung gian và end entity certificate. CA nhận các yêu cầu cấp chứng chỉ, xác thực, cấp Chứng chỉ và công bố trạng thái hiệu lực. Từ đó, bất kỳ ai dựa trên Chứng chỉ đều có thể biết được thời gian hiệu lực của nó.
CA thường cạo ra một số root certificate CA trung gian (Intermediate CA – ICA). Chúng được sử dụng để cấp end entity certificate (như SSL). Đây được gọi là hệ thống phân cấp tin cậy (Trust Heriarchy).
CA không cấp Chứng chỉ số trực tiếp từ Root CA của họ mà thông qua một hoặc nhiều ICA để làm việc này. Sỡ dĩ là như thế là vi CA cần phải tuân theo các tiêu chuẩn bảo mật khắt khe để hạn chế tối đa việc bị lộ Root CA vào tay các attacker.
Điều gì xảy ra khi vận hành một CA?
Là một trusted anchor của internet, CA rõ ràng có trách nhiệm vô cùng lớn. Vì vậy, việc chạy một CA là một nhiệm vụ phức tạp. Cơ sở hạ tầng của CA bao gồm các yếu tố hoạt động, phần cứng, phần mềm, khuôn khổ chính sách. Ngoài ra còn có kiểm toán, cơ sở hạ tầng bảo mật, nhân sự… Nói chung, các phần tử đó được gọi là PKI (Public Key Infrastructure).
Public Key Infrastructure (PKI)
Các Chứng chỉ có nhiều định dạng khác nhau, từ đó có thể hỗ trợ xác thực mọi người và thiết bị, bên cạnh SSL. Đồng thời, nó còn làm tăng tính hợp pháp cho code và các tài liệu.
Theo GlobalSign.