Digitális tanúsítványok: mi az? X.509, hitelesítés és osztályok

Ismerje meg a digitális tanúsítványok működését, az X.509 szabványt, hitelesítési folyamatokat és tanúsítványosztályokat — biztonságos online azonosítás lépésről lépésre.

A digitális tanúsítványok elektronikus "hitelkártyák", amelyek az Ön hitelesítő okmányai, amikor üzleti vagy egyéb tranzakciókat hajt végre a világhálón. A tanúsítványt egy hitelesítésszolgáltató (CA) állítja ki. Tartalmazza az Ön nevét, sorozatszámát, a lejárati dátumokat, a tanúsítványtulajdonos nyilvános kulcsának másolatát (amelyet az üzenetek titkosításához és a digitális aláírásokhoz használnak), valamint a tanúsítványt kiállító hatóság digitális aláírását, hogy a címzett ellenőrizni tudja a tanúsítvány valódiságát. Egyes digitális tanúsítványok megfelelnek az X.509 szabványnak. A digitális tanúsítványokat nyilvántartásokban lehet tárolni, hogy a hitelesítő felhasználók le tudják keresni más felhasználók nyilvános kulcsait.

Hogyan működik egy digitális tanúsítvány?

• Nyilvános és privát kulcs: A tanúsítvány tartalmazza a tulajdonos nyilvános kulcsát; a privát kulcsot a tulajdonos bizalmasan tartja. Az adatok titkosításához vagy aláírások ellenőrzéséhez ez a nyilvános kulcs használható.
• Kiállító (CA): A hitelesítésszolgáltató ellenőrzi az igénylő azonosságát, majd a saját privát kulcsával digitálisan aláírja a tanúsítványt. A fogadó fél a CA nyilvános kulcsával ellenőrzi a tanúsítvány aláírását, így győződhet meg a tanúsítvány sértetlenségéről és eredetéről.
• Érvényesség: A tanúsítványoknak lejárati idejük van; lejárat után nem tekinthetők megbízhatónak. Emellett visszavonhatják őket, ha kompromittálódott a privát kulcs vagy más ok merül fel.
• Tanúsítványlánc: A végponti (leaf) tanúsítvány gyakran egy vagy több köztes tanúsítványon keresztül kapcsolódik egy gyökér CA-hoz. A böngészők és operációs rendszerek a gyökér CA-kat megbízhatónak jelölik.

X.509 szabvány és mezők

Az X.509 a legelterjedtebb formátum a digitális tanúsítványokhoz. Tipikus mezők:

• Subject: a tanúsítvány tulajdonosának adatai (név, szervezet, e-mail stb.).
• Issuer: a tanúsítványt kiállító CA adatai.
• Serial number: egyedi azonosító a tanúsítványhoz.
• Validity: kezdő és lejárati dátum.
• Subject Public Key Info: a nyilvános kulcs és algoritmus információi.
• Extensions: kiterjesztések, pl. használati cél (TLS, kódaláírás, e-mail), altnevek (SAN), CRL/OCSP információk stb.

Tanúsítvány-visszavonás és ellenőrzés

• CRL (Certificate Revocation List): a CA által közzétett visszavont tanúsítványok listája.
• OCSP (Online Certificate Status Protocol): valós idejű lekérdezés egy tanúsítvány státuszáról.
• Böngészői és szerverellenőrzés: a modern kliensprogramok ellenőrzik az aláírást, a lejáratot, a láncot és (lehetőség szerint) a visszavonást.

Gyakori típusok és felhasználási területek

• SSL/TLS tanúsítványok: webes titkosításhoz (HTTPS).
• Client (ügyfél) tanúsítványok: felhasználói azonosításhoz szerverek felé.
• Kódaláíró tanúsítványok: szoftver és frissítések integritásának igazolásához.
• S/MIME tanúsítványok: e-mailek titkosításához és aláírásához.
• Önállóan aláírt (self-signed) tanúsítványok: nem megbízhatók nyilvános környezetben, de belső tesztelésre használhatók.

Digitális tanúsítványok osztályai

A tanúsítványok osztályozása eltérő lehet a kiadótól, de az alábbi, egyszerűsített leírás gyakran használt:

• 1. osztály (alapvető / szoftveres azonosítás): azonosítás elsősorban egy érvényes e-mail címre vagy alap-azonosításra támaszkodik. Ezek gyakran nem rendelkeznek jogi erővel és korlátozott bizalmi szinttel bírnak; egyszerűbb, alacsony kockázatú használatra alkalmasak.
• 2. osztály (megerősített azonosítás): a személy vagy szervezet ellenőrzése megbízható, előre ellenőrzött adatbázisok vagy hivatalos dokumentumok alapján történik. Gyakrabban használják üzleti tranzakciókhoz és olyan helyzetekben, ahol fontosabb a hitelesség.
• 3. osztály (szigorú / magas biztonság): a kérelmezőnek személyesen meg kell jelennie a kiadó előterében, vagy szigorú személyazonosság-igazolást kell benyújtania. Ezt a szintet általában magasabb kockázatú alkalmazásokhoz és jogilag jelentős hitelesítéshez használják.

Javaslatok és jó gyakorlatok

• Mindig bízható, ismert CA-t válasszon, különösen webes TLS tanúsítványoknál.
• Végezze el időben a tanúsítványok megújítását, és figyelje a lejárati dátumokat.
• Védje a privát kulcsokat erős hozzáférés-szabályozással és biztonságos tárolással (HSM, titkosított tároló).
• Használjon megfelelő tanúsítványt a célra (pl. ne használjon kliens-tanúsítványt webszerverhez és fordítva).
• Állítson be OCSP vagy CRL ellenőrzést a szerverein, ha valós idejű visszavonás-ellenőrzés szükséges.

Összefoglalva: a digitális tanúsítványok kulcsfontosságúak az online biztonságban — azonosítják a feleket, lehetővé teszik a titkosítást és az aláírások ellenőrzését. Az X.509 a legelterjedtebb szabvány, és a tanúsítványok osztályozása segít meghatározni a rájuk ruházható bizalmi szintet és jogi súlyt.

Kérdések és válaszok

K: Mik azok a digitális tanúsítványok?

K: Ki állítja ki a digitális tanúsítványokat?

K: Milyen információkat tartalmaz egy digitális tanúsítvány?

K: Mi az X.509?

K: Milyen osztályai vannak a digitális tanúsítványoknak?

K: Mi az 1. osztályú digitális tanúsítvány?

K: Mi a 3. osztályú digitális tanúsítvány?

Keresés betűvel