Как узнать, из чего состоит SSL-сертификат?

Зашифрованные соединения с веб-сайтами по протоколу HTTPS приобретают всё большее распространение в интернете. Они обеспечивают безопасную пересылку конфиденциальных сведений: учётных данных, паспортных данных, номеров банковских карт и т.п.

За применение HTTPS ратует компания Google. Она призывает использовать этот безопасный протокол всегда и везде.

Для использования протокола HTTPS требуется SSL-сертификат, содержащий в себе публичный и секретный ключи, а также дополнительные сведения о получателе сертификата, его издателе и т.п.

Когда устанавливается HTTPS-соединение, браузер сообщает об этом пользователю в адресной строке. О способах индикации HTTPS в разных браузерах можно прочитать здесь.

Как посмотреть характеристики сертификата?

При желании пользователь может узнать характеристики сертификата, щёлкнув клавишей мыши на значке HTTPS. Например, в браузере Google Chrome этот значок выглядит так.

google

В раскрывшейся панели нужно щёлкнуть на ссылке «Детали» (Details).

Примечание: пользовательский интерфейс браузера Google Chrome был немного изменён, о новом порядке просмотра характеристик сертификата рассказано здесь.

google-details

В появившейся справа панели нужно щёлкнуть кнопку «Показать сертификат» (View certificate).

View certificate

Откроется окно со сведениями о сертификате.

На вкладке «Общие» показано наиболее важное: назначение сертификата, кому и кем он выдан, срок действия сертификата.

В данном случае он выдан:

  • для идентификации удалённого компьютера (веб-сайта);
  • для домена google.com.ru с поддоменами;
  • центром сертификации Google Internet Authority G2;
  • на срок с 01.12.2016 по 23.02.2017.

Сведения о сертификате

На вкладке «Состав» представлены подробные сведения о сертификате. К ним мы ещё вернёмся.

Cертификат состав

На вкладке «Путь сертификации» показано, кто и чей сертификат заверил.

Центров сертификации верхнего уровня существует много. Для взаимного подтверждения полномочий и удостоверения выданных сертификатов используются цепочки, одна из которых показана далее.

В данном случае SSL-сертификат для домена *.google.com.ru выдал центр сертификации Google Internet Authority G2 и, соответственно, подписал его своей цифровой подписью. А сертификат самого Google Internet Authority G2 подписал другой центр сертификации — GeoTrust Global CA.

Путь сертификации

Вернёмся к вкладке «Состав».

В ней представлено много характеристик сертификата. Для удобства просмотра их можно сгруппировать:

  • поля V1 — это поля с базовой информацией о сертификате, соответствующей первой версии стандарта (X.509, version 1); эта группа полей поддерживается для обратной совместимости сертификатов с разными браузерами;
  • расширения — поля, не входящие группу полей V1;
  • критические расширения — поля, ошибка в которых приведён к признанию SSL-сертификата недействительным;
  • свойства — цифровая подпись сертификата и её алгоритм.

Состав сертификата

Состав-Только поля V1

Состав сертификата-Только расширения

Состав сертификата-только критические расширения

Состав сертификата-только свойства

Поля V1

Версия стандарта X.509 (публичной инфраструктуры открытых ключей). В данном случае сказано, что сертификат соответствует третей версии этого стандарта.

версия сертификата

Серийный номер сертификата — уникальный 20-разрядный номер, присваиваемый каждым центром сертификации каждому выданному им сертификату.

серийный номер сертификата

Идентификатор алгоритма формирования цифровой подписи, которой подписан данный сертификат.

Существует несколько криптографических алгоритмов, используемых в цифровых подписях, поэтому важно указать, какой из них использован в конкретной подписи.

Здесь указано, что для формирования данной подписи использовался SHA256RSA, то есть сочетание SHA-256 с RSA.

алгоритм подписи сертификата

Хэш-алгоритм подписи — криптографический алгоритм, с помощью которого был сформирован хэш цифровой подписи издателя.

хэш-алгоритм подписи сертификата

Издатель — центр сертификации, выпустивший SSL-сертификат. В данном случае издателем рассматриваемого сертификата стал Google Internet Authority G2.

В текстовом поле, расположенным под списком полей, дополнительно отображается значение поля.

Это актуально, когда значение — длинное или многострочное.

В данном случае указано не только название центра сертификации (CN), но названии организации (O), которой принадлежит этот центр, а также страна (C), в которой находится центр сертификации.

издатель сертификата

SSL-сертификат выпускается на определённый календарный период. В нём указывается дата и время начала действия сертификата, а также дата и время прекращения действия сертификата.

сертификат действителен с

сертификат действителен по

В SSL-сертификате содержится пара криптографических ключей: открытый и секретный, которые собственно и позволяют организовать зашифрованное соединение браузера пользователя с веб-сервером.

Значение открытого ключа содержится в этом поле. С помощью открытого ключа браузер пользователя зашифровывает данные, отправляемые серверу.

Значение секретного ключа браузеру посетителя не передаётся. Секретный ключ хранится на веб-сервере и используется им для расшифровки данных, зашифрованных браузером с помощью открытого ключа.

Длина открытого ключа, используемого в этом сертификате — 2048 битов.

субъект

Параметры открытого ключа. Дополнительные параметры, уточняющие порядок использования открытого ключа.

параметры открытого ключа

Расширения сертификата

Расширение «Улучшенный ключ» используется для указания области применения сертификата. В данном случае в качестве области применения: удостоверения подлинности конкретного сервера и конкретного клиента, идентификаторы которых указаны в скобках.

Реестр объектов, с которыми может быть связан сертификат, хранится в центре сертификации.

состав-улучшенный ключ

Дополнительное имя субъекта. В этом расширении содержится перечень доменов или поддоменов, связанных с данным сертификатом.

В этом примере SSL-сертификат привязан к двум доменам: google.ru и google.com.ru, а также к соответствующим поддоменам: *.google.ru и *.google.com.ru. То есть этот сертификат является мультидоменным с охватом поддоменов.

состав-дополнительное имя субъекта

Доступ к информации о центрах сертификации. В этом расширении сказано, в каких центрах сертификации и как можно проверить данный SSL-сертификат.

состав-доступ к информации о центре сертификации

Идентификатор ключа субъекта, то есть получателя сертификата.

Речь идёт об идентификаторе публичного ключа владельца сертификата в базе данных центра сертификации. По значению этого поля можно проверить значение публичного ключа, полученное от веб-сервера.

идентификатор ключа субъекта

Идентификатор ключа центра сертификации. Речь идёт об идентификаторе публичного ключа центра сертификации, который следует использовать при обращении к центру.

Идентификатор используется вместо значения самого ключа для повышения гибкости инфраструктуры публичных ключей.

Значение самого публичного ключа можно найти на сервере сертификации по указанному идентификатору ключа.

Идентификатор ключа центра сертификации

Политики сертификата. Речь идёт правилах использования сертификата.

В этом поле содержатся ссылки на разделы регламентирующего документа центра сертификации: Certification Practice Statement («Заявление о порядке сертификации»).

Политики сертификата

Точки распространения списка отзыва (Certificate Revocation List, CRL).

Дело в том, что по некоторым причинам сертификат может быть отозван досрочно, до окончания указанного в нём срока действия. В этом случае об отзыве сертификата нужно уведомить другие центры. Обычно списки отозванных сертификатов хранятся в базе данных его издателя.

В этом поле содержится гиперссылка на список отозванных сертификатов.

Точки распространения списка отзыва

Основные ограничения.

Это поле связано с цепочками сертификатов. В нём определено, принадлежит ли данный сертификат центру сертификации или «конечному» потребителю, а также имеется ли ограничение на максимальную длину цепочки.

В этом поле могут быть также указаны центры, сертификаты которых могут участвовать в цепочке, а также допустимые регламентирующие документы.

Это поле является критическим, то есть при наличии в нём ограничений, они должны соблюдаться всегда. Невыполнение их должно считаться ошибкой сертификата.

Основные ограничения.

Свойства

Здесь под отпечатком понимается цифровая подпись издателя сертификата, а под алгоритмом отпечатки криптографический метод, использованный для формирования цифровой подписи.

Алгоритм отпечатка

Отпечаток

Путь сертификации

В этой вкладке показана цепочка данного сертификата.

SSL-сертификат конечного пользователя может быть подписан центром сертификации не напрямую, а через своего партнёра. В этом случае центр своим сертификатом подписывает сертификат своего партнёра, а партнёр, в свою очередь, своим сертификатом подписывает сертификат конечно пользователя. Сертификат компании GeoTrust в этой цепочке является корневым, а Google Internet Authority G2 — промежуточным.

 

Цепочки сертификатов полезны для того, чтобы распределить нагрузку между разными центрами сертификации и сделать систему удостоверения сертификатов более надёжной.

 

В этой вкладке можно просмотреть данные любого из сертификатов, входящих в цепочку.

Google Internet Authority G2

Путь сертификации

Заключение

Наиболее важными сведениями о SSL-сертификате являются:

  • издатель;
  • получатель (владелец);
  • срок действия.

Другие сведения также важны, но они носят более внутренний технологический характер. Тем не менее, стоит иметь о них представление.

 

P.S. Ещё несколько интересных материалов по теме SSL-сертифитов: