Как узнать, из чего состоит SSL-сертификат?

30.12.2016

Зашифрованные соединения с веб-сайтами по протоколу HTTPS приобретают всё большее распространение в интернете. Они обеспечивают безопасную пересылку конфиденциальных сведений: учётных данных, паспортных данных, номеров банковских карт и т.п.

За применение HTTPS ратует компания Google. Она призывает использовать этот безопасный протокол всегда и везде.

Для использования протокола HTTPS требуется SSL-сертификат, содержащий в себе публичный и секретный ключи, а также дополнительные сведения о получателе сертификата, его издателе и т.п.

Когда устанавливается HTTPS-соединение, браузер сообщает об этом пользователю в адресной строке. О способах индикации HTTPS в разных браузерах можно прочитать здесь.

Как посмотреть характеристики сертификата?

При желании пользователь может узнать характеристики сертификата, щёлкнув клавишей мыши на значке HTTPS. Например, в браузере Google Chrome этот значок выглядит так.

В раскрывшейся панели нужно щёлкнуть на ссылке «Детали» (Details).

Примечание: пользовательский интерфейс браузера Google Chrome был немного изменён, о новом порядке просмотра характеристик сертификата рассказано здесь.

В появившейся справа панели нужно щёлкнуть кнопку «Показать сертификат» (View certificate).

Откроется окно со сведениями о сертификате.

На вкладке «Общие» показано наиболее важное: назначение сертификата, кому и кем он выдан, срок действия сертификата.

В данном случае он выдан:

На вкладке «Состав» представлены подробные сведения о сертификате. К ним мы ещё вернёмся.

На вкладке «Путь сертификации» показано, кто и чей сертификат заверил.

Центров сертификации верхнего уровня существует много. Для взаимного подтверждения полномочий и удостоверения выданных сертификатов используются цепочки, одна из которых показана далее.

В данном случае SSL-сертификат для домена *.google.com.ru выдал центр сертификации Google Internet Authority G2 и, соответственно, подписал его своей цифровой подписью. А сертификат самого Google Internet Authority G2 подписал другой центр сертификации — GeoTrust Global CA.

Вернёмся к вкладке «Состав».

В ней представлено много характеристик сертификата. Для удобства просмотра их можно сгруппировать:

Поля V1

Версия стандарта X.509 (публичной инфраструктуры открытых ключей). В данном случае сказано, что сертификат соответствует третей версии этого стандарта.

Серийный номер сертификата — уникальный 20-разрядный номер, присваиваемый каждым центром сертификации каждому выданному им сертификату.

Идентификатор алгоритма формирования цифровой подписи, которой подписан данный сертификат.

Существует несколько криптографических алгоритмов, используемых в цифровых подписях, поэтому важно указать, какой из них использован в конкретной подписи.

Здесь указано, что для формирования данной подписи использовался SHA256RSA, то есть сочетание SHA-256 с RSA.

Хэш-алгоритм подписи — криптографический алгоритм, с помощью которого был сформирован хэш цифровой подписи издателя.

Издатель — центр сертификации, выпустивший SSL-сертификат. В данном случае издателем рассматриваемого сертификата стал Google Internet Authority G2.

В текстовом поле, расположенным под списком полей, дополнительно отображается значение поля.

Это актуально, когда значение — длинное или многострочное.

В данном случае указано не только название центра сертификации (CN), но названии организации (O), которой принадлежит этот центр, а также страна (C), в которой находится центр сертификации.

SSL-сертификат выпускается на определённый календарный период. В нём указывается дата и время начала действия сертификата, а также дата и время прекращения действия сертификата.

В SSL-сертификате содержится пара криптографических ключей: открытый и секретный, которые собственно и позволяют организовать зашифрованное соединение браузера пользователя с веб-сервером.

Значение открытого ключа содержится в этом поле. С помощью открытого ключа браузер пользователя зашифровывает данные, отправляемые серверу.

Значение секретного ключа браузеру посетителя не передаётся. Секретный ключ хранится на веб-сервере и используется им для расшифровки данных, зашифрованных браузером с помощью открытого ключа.

Длина открытого ключа, используемого в этом сертификате — 2048 битов.

Параметры открытого ключа. Дополнительные параметры, уточняющие порядок использования открытого ключа.

Расширения сертификата

Расширение «Улучшенный ключ» используется для указания области применения сертификата. В данном случае в качестве области применения: удостоверения подлинности конкретного сервера и конкретного клиента, идентификаторы которых указаны в скобках.

Реестр объектов, с которыми может быть связан сертификат, хранится в центре сертификации.

Дополнительное имя субъекта. В этом расширении содержится перечень доменов или поддоменов, связанных с данным сертификатом.

В этом примере SSL-сертификат привязан к двум доменам: google.ru и google.com.ru, а также к соответствующим поддоменам: *.google.ru и *.google.com.ru. То есть этот сертификат является мультидоменным с охватом поддоменов.

Доступ к информации о центрах сертификации. В этом расширении сказано, в каких центрах сертификации и как можно проверить данный SSL-сертификат.

Идентификатор ключа субъекта, то есть получателя сертификата.

Речь идёт об идентификаторе публичного ключа владельца сертификата в базе данных центра сертификации. По значению этого поля можно проверить значение публичного ключа, полученное от веб-сервера.

Идентификатор ключа центра сертификации. Речь идёт об идентификаторе публичного ключа центра сертификации, который следует использовать при обращении к центру.

Идентификатор используется вместо значения самого ключа для повышения гибкости инфраструктуры публичных ключей.

Значение самого публичного ключа можно найти на сервере сертификации по указанному идентификатору ключа.

Политики сертификата. Речь идёт правилах использования сертификата.

В этом поле содержатся ссылки на разделы регламентирующего документа центра сертификации: Certification Practice Statement («Заявление о порядке сертификации»).

Точки распространения списка отзыва (Certificate Revocation List, CRL).

Дело в том, что по некоторым причинам сертификат может быть отозван досрочно, до окончания указанного в нём срока действия. В этом случае об отзыве сертификата нужно уведомить другие центры. Обычно списки отозванных сертификатов хранятся в базе данных его издателя.

В этом поле содержится гиперссылка на список отозванных сертификатов.

Основные ограничения.

Это поле связано с цепочками сертификатов. В нём определено, принадлежит ли данный сертификат центру сертификации или «конечному» потребителю, а также имеется ли ограничение на максимальную длину цепочки.

В этом поле могут быть также указаны центры, сертификаты которых могут участвовать в цепочке, а также допустимые регламентирующие документы.

Это поле является критическим, то есть при наличии в нём ограничений, они должны соблюдаться всегда. Невыполнение их должно считаться ошибкой сертификата.

Свойства

Здесь под отпечатком понимается цифровая подпись издателя сертификата, а под алгоритмом отпечатки криптографический метод, использованный для формирования цифровой подписи.

Путь сертификации

В этой вкладке показана цепочка данного сертификата.

SSL-сертификат конечного пользователя может быть подписан центром сертификации не напрямую, а через своего партнёра. В этом случае центр своим сертификатом подписывает сертификат своего партнёра, а партнёр, в свою очередь, своим сертификатом подписывает сертификат конечно пользователя. Сертификат компании GeoTrust в этой цепочке является корневым, а Google Internet Authority G2 — промежуточным.

 

Цепочки сертификатов полезны для того, чтобы распределить нагрузку между разными центрами сертификации и сделать систему удостоверения сертификатов более надёжной.

 

В этой вкладке можно просмотреть данные любого из сертификатов, входящих в цепочку.

Заключение

Наиболее важными сведениями о SSL-сертификате являются:

Другие сведения также важны, но они носят более внутренний технологический характер. Тем не менее, стоит иметь о них представление.

 

P.S. Ещё несколько интересных материалов по теме SSL-сертифитов:

 

Зарегистрироваться