רשות הנפקת תעודות

רשות הנפקת תעודות (Certificate Authority או בקיצור CA) היא ארגון צד ג' עם 3 מטרות עיקריות:

1. הנפקת תעודות.

2. וידוא הזהות של בעל התעודה.

3. סיפוק הוכחות לכך שהתעודה תקינה.

יש מצב ששמעתם על Symantec ,Comodo או Let's Encrypt ועל אחרים.

כדי להפוך ל-CA צריך לעמוד בדרישות אבטחה מחמירות וביקורות.

על מנת להתקבל ל-root store צריך שיתנו בך אמון.

Root store הוא למעשה מסד נתונים של רשויות הנפקת תעודות אמינות.

Apple ,Windows ו-Mozilla מחזיקות כל אחת root store משלה שהן מתקינות מראש על המחשב או המכשיר שלכם.

איזו תעודה כדאי לי לקנות? בגדול הן באות בשלושה טעמים.

תעודה מאשרת דומיין (Domain validated). תעודה זו רק מוודאת את שם הדומיין, ולא שום דבר אחר. אם תצטרכו תעודה, כנראה תצטרכו כזו.

תעודה מאשרת ארגון (Organization validated). תעודה כזו כוללת וידוא מעשי ואימות של הארגון עבורו מנפיקים את התעודה.

תעודת אישור מורחב (Extended validation). תעודה זו דורשת וידוא מקיף של העסק.

כל תעודה תקינה גורמת להופעת המנעול הירוק בשורת הכתובת בדפדפן. עבור תעודת אישור מורחב בדרך כלל גם יוצג שם החברה.

אבל איך בכלל מאמתים תעודות?

כאשר CA מנפיקה תעודה, היא חותמת עליה עם תעודת ה-root שלה שנמצאת ב-root store.

ברוב המקרים הרשות החותמת תהיה גורם ביניים שנחתם על ידי תעודת ה-root.

אם חס ושלום תעודת ה-root תיפרץ, יותר קל לבטל את תעודות הביניים, מאחר שתעודת ה-root מותקנת במכשיר עצמו.

בואו נראה יחד איך תעודה מאומתת. התהליך מבוסס על "שרשרת אמון" (chain of trust).

הדפדפן שלכם מתחבר לאתר בעזרת HTTPS ומוריד את התעודה של האתר.

התעודה אינה תעודת root.

הדפדפן שלכם מוריד את התעודה שהשתמשו בה כדי לחתום על התעודה של האתר.

אבל גם התעודה הזו היא לא תעודת root.

הדפדפן שלכם בודק שוב, הפעם את התעודה בעזרתה חתמו על תעודת הביניים.

זו תעודת root! ווהו!

שרשרת התעודות אמינה, ולכן ניתן לסמוך גם על תעודת האתר.

במידה והתעודה האחרונה בשרשרת היא לא תעודת root, ואין עוד תעודות להוריד, אז השרשרת לא אמינה.

אבל למה בכלל להעזר ברשות הנפקת תעודות כשאפשר לחתום על התעודות שלנו בעצמנו?

תעודה שנחתמה על ידינו מספקת את אותה רמת הצפנה כמו תעודה שהונפקה על ידי רשות.

סרטנים לא יכולים לצותת למידע שלנו.

וזה לא עולה כסף לחתום על תעודות בעצמנו!

נכון, אבל כמעט כל דפדפן בודק שהתעודה שלנו הונפקה על ידי רשות מהימנה.

מבקרים של אתרים כאלו יוזהרו שלא ניתן לבטוח בתעודה שהאתר מספק.

תעודות שנחתמו עצמאית יכולות להיות שימושיות לצרכי בדיקה, ורשתות פנימיות, אבל מומלץ להימנע משימוש בהן באתרים ציבוריים.

ניתן לזייף תעודות שנחתמו עצמאית. בתכל'ס, הן בסך הכל אומרות "סמכו עלי, זה אני, אני מבטיח!".

תעודה אמינה אומרת: "סמכו עלי, יש רשות שוידאה אותי".

ואם כבר דיברנו על אמון. תודה רבה לכם שסמכתם עלינו בסיפור הזה.

לצערנו, הוא מגיע לסיומו.

אנחנו מקווים שנהנתם מהקומיקס הזה!

נתראה בקרוב!

היי, עשיתם את זה!

סיימתם לקרוא את הקומיקס! אנחנו מודים לכם מעומק טלפי החתול שלנו שהקדשתם קצת זמן מהיום שלכם כדי לקרוא על HTTPS.

אנחנו מציעים לכם שלוש פעילויות כדי להסיח את דעתכם מהעובדה שאין עוד פרקים לקרוא.

1. בדקו את הידע שלכם

כפיצוי, אתם יכולים לבדוק את הידע החדש-דנדש שלכם על HTTPS בבוחן (באנגלית). נכון מאוד. אנחנו אפילו יכולים לשלוח לכם תעודה על כך אם תוציאו ציון מספיק גבוה.

Take the HTTPS quiz

2. שתפו אותנו ברשתות החברתיות

הדבר האנושי לעשות. אם אתם רוצים להפעיל עלינו יותר לחץ ליצור עוד קומיקסים, הנה כמה דוגמאות שידחפו אותנו לקצה אזור הנוחות.

I want my new comic right meow 😸 @dnsimple! #certificat https://howhttps.works

Tweet this

Don't cat corners! ✂ 🐈 but make more comics @dnsimple #certificat https://howhttps.works

Tweet that

I have a good feline about this upcoming comic @dnsimple 😻 #certificat https://howhttps.works

Tweet this other thing

Bad crab. Bad @dnsimple. 🦀 Make more comics! #crab https://howhttps.works

Last chance tweet button

3. בקרו ב-DNSimple

אם נהנתם מהקומיקס, ואתם צריכים SSL certificate כדי לאבטח את האתר שלכם, או שאתם צריכים DNS שהוא 'rock solid and easy-to-use' (לא המילים שלנו), או דומיין חדש ומגניב, שימו עלינו עין.

Visit dnsimple

נ"ב אם אתם רוצים להציע פרק חדש (בבקשה לא, אנחנו נצטרך לעדכן את הדף הזה) או לתת לנו ביקורת בונה על פרקים קיימים, כולנו אוזן (של חתול).