טרמינולוגיה חשובה בנושא אבטחה

שניים מהמכשולים שמפתחים נתקלים בהם במעבר אל HTTPS הם מושגים ומינוחים. המדריך הזה מספק סקירה כללית קצרה של שתי הפלטפורמות.

Chris Palmer
Chris Palmer

סיכום

  • שימוש במפתחות ציבוריים/פרטיים כדי לחתום ולפענח הודעות בין הדפדפן לשרת.
  • רשות אישורים (CA) היא ארגון שמערוב למיפוי בין המפתחות הציבוריים לשמות DNS ציבוריים (כגון www.foobar.com).
  • בקשה לחתימה על אישור (CSR) היא פורמט נתונים שכולל מפתח ציבורי יחד עם כמה מטא-נתונים על הישות שהמפתח נמצא בבעלותה

מהם זוגות המפתחות הציבוריים והפרטיים?

זוג מפתחות ציבורי/פרטי הוא זוג של מספרים גדולים מאוד המשמשים כמפתחות הצפנה ופענוח, שיש להם קשר מתמטי מיוחד. מערכת קריפטוגרפית RSA היא מערכת נפוצה לצמדי מפתחות. המפתח הציבורי משמש להצפנת הודעות, וניתן לפענח את ההודעות רק באמצעות המפתח הפרטי המתאים. שרת האינטרנט מפרסם בעולם את המפתח הציבורי שלו, ולקוחות (למשל דפדפני אינטרנט) משתמשים בו כדי לאתחל ערוץ מאובטח לשרת שלכם.

מהי רשות אישורים?

רשות אישורים (CA) היא ארגון שמערוב למיפוי בין מפתחות ציבוריים לשמות DNS ציבוריים (כמו www.foobar.com). לדוגמה, איך לקוח יכול לדעת אם מפתח ציבורי מסוים הוא המפתח הציבורי true של www.foobar.com? אפור, אין דרך לדעת. רשות אישורים מבטיחה שמפתח מסוים הוא המפתח האמיתי לאתר ספציפי, באמצעות שימוש במפתח הפרטי שלו כדי לחתום באופן קריפטוגרפי על המפתח הציבורי של האתר. לא ניתן לזייף את החתימה הזאת מבחינה ממוחשבת. דפדפנים (ולקוחות אחרים) מחזיקים מאגרי ישויות עוגן אמינות שמכילים את המפתחות הציבוריים שבבעלות ה-CA הידוע, ומשתמשים בהם כדי לאמת באופן קריפטוגרפי את החתימות של ה-CA.

אישור X.509 הוא פורמט נתונים שכולל מפתח ציבורי בחבילה עם כמה מטא-נתונים על הישות שהמפתח נמצא בבעלותה. במקרה של האינטרנט, הבעלים של המפתח הוא אופרטור האתר, והמטא-נתונים החשובים הם שם ה-DNS של שרת האינטרנט. כשלקוח מתחבר לשרת אינטרנט מסוג HTTPS, שרת האינטרנט מציג את האישור שלו ללקוח כדי לבצע אימות. הלקוח מוודא שתוקף האישור לא פג, ששם ה-DNS תואם לשם השרת שאליו הלקוח מנסה להתחבר ושרשות אישורים מוכרת של עוגן מהימן חתמה על האישור. ברוב המקרים, רשויות אישורים לא חותמות ישירות על אישורים של שרת האינטרנט. בדרך כלל יש שרשרת אישורים שמקשרת בין עוגן מהימן לחותם או לחותמים מתווכים, ולבסוף לאישור עצמו של שרת האינטרנט (ישות הקצה).

מהי בקשה לחתימה על אישור?

בקשה לחתימה על אישור (CSR) היא פורמט נתונים, שבדומה לאישור, כולל מפתח ציבורי יחד עם מטא-נתונים מסוימים של הישות שהמפתח נמצא בבעלותה. עם זאת, לקוחות לא מפרשים נציגי שירות לקוחות, אבל רשות האישורים כן. אם רוצים ש-CA יצביע על המפתח הציבורי של שרת האינטרנט, צריך לשלוח את ה-CA CSR. ה-CA מאמת את המידע ב-CSR ומשתמש בו כדי ליצור אישור. לאחר מכן, ה-CA שולח לכם את האישור הסופי, ואתם מתקינים את האישור (או סביר יותר להניח שרשרת אישורים) ואת המפתח הפרטי בשרת האינטרנט שלכם.