SSL Сертификаты: дополнительно об SSL
Алгоритм RSA
RSA – криптографическая система ассиметричного ключа, которая обеспечивает шифрование данных и поддержку цифровых подписей. Криптосистема RSA разработана в 1977 году и названа в честь ее разработчиков Ronald Rivest, Adi Shamir и Leonard Adleman.
Простое число - это натуральное число, имеющее ровно два натуральных делителя: 1 и само себя. Т.е. его можно поделить без остатка только в случае, если делить число само на себя, либо на единичку.
Алгоритм RSA работает следующим образом: берутся два достаточно больших простых числа p и q и вычисляется их произведение n = p · q; n называется модулем.
Затем выбирается число e, удовлетворяющее условию
1< e < (p - 1) · (q - 1)
и не имеющее общих делителей кроме 1 (взаимно простое) с числом
(p - 1) · (q - 1)
Затем вычисляется число d таким образом, что
(e · d - 1) делится на (p - 1) · (q – 1)
e – открытый (public) показатель
d – частный/приватный (private) показатель
(n; e) – открытый (public) ключ
(n; d) – секретный/приватный (private) ключ
Делители p и q можно либо уничтожить, либо сохранить вместе с секретным ключом. Если бы существовали эффективные методы разложения на сомножители, то, разложив n на сомножители p и q, можно было б получить секретный ключ d. Исходя из этой сложной задачи разложения на сомножители (практически неразрешимой), криптосистема RSA и обладает высокой надежностью. На сегодняшний день не существует эффективного способа поиска сомножителей p · q для взлома криптографического алгоритма RSA.
Стандарт Х.509
Стандарт X.509 был первоначально принят в 1988 году. Он определяет жесткую иерархическую систему сертификационных центров, которые выпускают сертификаты. Этот стандарт похож на модели веб-доверия, как PGP, в котором каждый (а не только сертификационный центр) может поставить свою подпись, таким образом подтвердить законность других сертификатов использующих ключи.
По системе X.509, сертификационный центр выдает сертификат, закрепляя публичный ключ за конкретным именем, или за альтернативным именем (адрес электронной почты или DNS-запись).
Некоторые веб-браузеры, например, Internet Explorer, Netscape/Mozilla и Opera идут с предустановленными (интегрированными) root-сертификатами. Так что SSL сертификаты крупных разработчиков, которые заплатили за интеграцию с веб-браузерами – будут работать мгновенно. На самом деле, владелец браузера самостоятельно определяет, какой сертификационный центр будет доверительной третьей стороной для пользователей браузера. Хотя и root-сертификаты можно удалить или отключить в браузере, пользователи очень редко так делают.
Система X.509 включает, также, правила исполнения списка аннулированных сертификатов; этот фактор часто упускают, используя систему открытых ключей. Утвержденный комитетом IETF, метод для проверки подлинности сертификата, называется протокол он-лайн проверки статуса сертификата. (Online Certificate Status Protocol (OCSP)). IETF - открытое международное сообщество проектировщиков, учёных, сетевых операторов и провайдеров, созданное в 1986, которое занимается развитием протоколов и архитектуры Интернета.
Структура цифрового сертификата стандарта X.509 выглядит следующим образом:
- Сертификат
- Версия
- Серийный номер
- Идентификатор алгоритма
- Эмитент
- Срок годности
- Не раньше чем
- Не позднее чем
- Заглавие (subject)
- Соответствующая информация об открытом ключе
- Алгоритм открытого ключа
- Соответствующий открытый ключ
- Уникальный идентификатор эмитента (необязательно)
- Соответствующий уникальный идентификатор (необязательно)
- Расширения (необязательно)
- …
- Алгоритм подписи сертификата
- Подпись сертификата
Если у вас возникли вопросы по поводу работы SSL или защиты Вашего сайта – можете круглосуточно обращаться в наш отдел технической поддержки, чтоб заказать сертификат, пожалуйста, обращайтесь в отдел продаж.
Использование материалов HostPro.ua разрешается при условии ссылки на источник.