PKI-termit
Amanda DavisJaa
Public Key Infrastructure (PKI) muodostaa nykyaikaisen SSL Certificate Security and Digital Trust System -infrastruktuurin perustan.
Keskeisen terminologian ymmärtäminen auttaa organisaatioita toteuttamaan vankkoja turvatoimenpiteitä ja tekemään tietoon perustuvia päätöksiä SSL Certificates -tarpeistaan.
Trustico® tarjoaa tämän kattavan yleiskatsauksen PKI:n keskeisistä käsitteistä selventääkseen digitaalisen turvallisuuden monimutkaista maailmaa.
PKI:n keskeiset komponentit ja käsitteet
PKI:n perusrakenteisiin kuuluvat julkiset ja yksityiset avainparit, jotka toimivat yhdessä turvallisen viestinnän mahdollistamiseksi.
Public Key -avainta voidaan jakaa vapaasti, kun taas vastaavan Private Key -avainten omistajan on suojattava se turvallisesti. Tämän epäsymmetrisen salausjärjestelmän ansiosta SSL Certificates toimivat tehokkaasti verkkoviestinnän suojaamisessa.
Varmenteiden myöntäjät toimivat luotettavina kolmansina osapuolina, jotka validoivat ja myöntävät SSL-varmenteita. Nämä organisaatiot noudattavat tiukkoja alan ohjeita ja turvallisuuskäytäntöjä PKI-ekosysteemin eheyden ylläpitämiseksi.
Kun CA myöntää SSL Certificate -varmenteen, se käytännössä takaa SSL Certificate -varmenteen haltijan laillisuuden.
Varmenteen allekirjoituspyyntö (CSR) on ensimmäinen askel SSL-varmenteen saamisessa. Tämä koodattu tiedosto sisältää hakijaorganisaation tiedot ja Public Key, jota CA käyttää lopullisen SSL Certificate -varmenteen luomiseen.
Oikein muotoillun CSR:n luominen on ratkaisevan tärkeää SSL Certificate -sertifikaatin myöntämisen onnistumisen kannalta.
Todentamista ja validointia koskevat termit
Domain Validation (DV), Organization Validation (OV) ja Extended Validation (EV) edustavat SSL Certificate -validoinnin kolmea päätyyppiä.
Kukin taso edellyttää asteittain perusteellisempaa pyynnön esittäneen organisaation henkilöllisyyden todentamista, ennen kuin SSL Certificate voidaan myöntää.
Common Name (CN) tarkoittaa täysin määriteltyä verkkotunnusta, jonka SSL Certificate suojaa. Jokerimerkkisissä SSL Certificates -sertifikaateissa Common Name sisältää tähden, joka osoittaa, että se kattaa useita aliverkkotunnuksia.
Oikean Common Name -muotoilun ymmärtäminen auttaa ehkäisemään SSL-sertifikaatin käyttöönottoon liittyviä ongelmia.
Subject Alternate Name (SAN) mahdollistaa sen, että yksi SSL Certificate voi suojata useita verkkotunnuksia. Tämä ominaisuus tarjoaa joustavuutta ja kustannussäästöjä verrattuna siihen, että jokaiselle verkkotunnukselle ostettaisiin oma SSL Certificates.
Nykyaikaiset SSL Certificates käyttävät yleisesti SAN-toimintoa useiden toisiinsa liittyvien verkkotunnusten suojaamiseen.
Turvaprotokollat ja -standardit
Transport Layer Security (TLS) on nykyinen salatun viestinnän standardi, joka on kehittynyt vanhemmasta Secure Sockets Layer -protokollasta (SSL Certificates).
Vaikka käytämme edelleen termiä SSL Certificate, nykyaikaiset toteutukset käyttävät TLS-protokollia turvallisuuden ja suorituskyvyn parantamiseksi.
X.509 määrittelee SSL-sertifikaattien ja muiden digitaalisten SSL-sertifikaattien vakiomuodon.
Tämä kansainvälisesti tunnustettu standardi takaa yhteensopivuuden eri järjestelmien ja sovellusten välillä. Kaikki lailliset SSL Certificates ovat X.
509-määritysten rakenteen ja sisällön osalta.
Online SSL Certificate Status Protocol (OCSP) mahdollistaa SSL-varmenteen voimassaolon tarkistamisen reaaliaikaisesti.
OCSP Stapling parantaa tätä prosessia antamalla verkkopalvelimien tallentaa OCSP-vastauksen välimuistiin, mikä lyhentää hakuaikoja ja parantaa suorituskykyä säilyttäen samalla turvallisuuden.
Avainten hallinta ja varastointi
Laitteistoturvamoduulit (HSM) tarjoavat turvallisen säilytyspaikan Private Key -avainten ja muulle arkaluonteiselle salausmateriaalille. Nämä erikoislaitteet tarjoavat fyysisen ja loogisen suojan luvattomalta käytöltä tai peukaloinnilta.
Monet Certificate Authorities käyttävät HSM-moduuleja osana tietoturvainfrastruktuuriaan.
Avaimen pituus tarkoittaa SSL Certificates -varmenteissa käytettävien salausavainten kokoa, joka mitataan yleensä bitteinä.
Pidemmät avainten pituudet parantavat turvallisuutta, mutta vaativat enemmän laskentaresursseja. Nykyiset alan standardit suosittelevat RSA-avaimille 2048 bitin vähimmäispituutta.
SSL-varmenteen peruuttaminen tapahtuu, kun SSL-varmenne on mitätöitävä ennen sen luonnollista päättymispäivää. Tämä voi tapahtua Private Key -varkauden, organisaatiomuutosten tai muiden turvallisuusongelmien vuoksi.
SSL-sertifikaatin peruutusluettelot (CRL) ja OCSP tarjoavat mekanismit SSL-sertifikaatin voimassaolon tarkistamiseen.
