Certificate authority nedir

Certificate authority — CA — dijital sertifikalar veren kuruluş. Sertifikanın görevi, belirli bir public key'in gerçekten belirli bir varlığa (website, sunucu, kullanıcı) ait olduğunu garanti etmek. Tarayıcılar, işletim sistemleri ve VPN istemcileri varsayılan olarak küçük bir CA setine güvenir; geri kalan her şey o güven üzerine inşa edilir.

https://fexyn.com'u ziyaret edersen sunucunun sunduğu sertifika bir CA tarafından imzalanmış. Tarayıcın imzayı CA'nın public key'ine karşı kontrol eder (zaten elinde var), eşleşmeyi onaylar ve sunucunun iddia ettiği kişi olduğuna karar verir. CA'lar olmadan her TLS bağlantısı seninle sunucu arasında ön-mevcut güven gerektirirdi — ki bu ölçeklenmez.

Büyük CA'lar

Tipik bir makinedeki trust store şu kuruluşlardan birkaç yüz root CA'ya sahip:

• Let's Encrypt — ücretsiz, otomatik, küçük site sertifikalarının uzun kuyruğunu domine eder. Otomasyonu teşvik etmek için 90-günlük sertifika verir.
• DigiCert / Sectigo — ticari, daha geniş ürün yelpazesi, kurumsalda yoğun kullanılır.
• Entrust, GlobalSign, GoDaddy — ayrıca ticari.
• Ulusal CA'lar — bazı hükümetler kendilerini işletir (örneğin Çin'in CFCA'sı). Bunlar bazen siyasi olarak tartışmalı.

Birkaç CA, sertifikaları yanlış vermek veya zayıf güvenlik uygulamaları nedeniyle trust store'lardan kaldırıldı (Symantec 2018'de tarayıcılar tarafından güvenden çıkarıldı; WoSign ve StartCom daha önce).

CA'lar sertifikaları nasıl imzalar

Mekanizma bir zincir. Root CA'nın private key'i intermediate CA'nın sertifikasını imzalar. Intermediate'in private key'i end-entity sertifikaları imzalar (websiteler, sunucular, kullanıcılar). End-entity sertifikası root'a geri zinciri kanıtlar.

Tarayıcın bir sertifika aldığında bu zinciri trust store'daki bir root'a kadar yukarı yürür. Her imza doğrulanır ve hiçbir şey revoke edilmemişse zincir iyidir.

Intermediate'ler için sebep: root'lar offline kalır (ideal olarak donanım üzerinde), sadece yeni intermediate'leri imzalamak için kullanılır. Günlük imzalama ele geçirilirse değiştirilebilen online intermediate'lerle olur. Ele geçirilmiş bir intermediate kötü; ele geçirilmiş bir root felaket.

Yanlış gidebilecekler

CA'lar yıllar içinde birkaç şekilde başarısız oldu:

• Ele geçirilme. Saldırganlar bir intermediate anahtarı çalar ve keyfi domain'ler için geçerli görünen sertifikalar verir. DigiNotar, Comodo ve diğerleri vuruldu.
• Misissuance. Bir CA genellikle hatalı domain validasyonu üzerinden bir sertifikayı yanlış tarafa verir. Certificate Transparency log'ları bunu post-hoc detect edilebilir yapar.
• Zorlama. Bir hükümet jurisdiction'ındaki bir CA'yı gözetim amaçları için sertifika vermeye zorlar. Savunma Certificate Transparency artı public scrutiny.

Her başarısızlık tarayıcıları etkilenen CA'dan sertifikalara güvenmemeye zorlar. Bazıları yeniden inşa eder; bazıları etmez.

VPN bağlamında CA'lar

Kendi PKI'sını çalıştıran bir VPN sağlayıcı kendi CA'sıdır — tarayıcının trust store'unda olmayan ama VPN istemcisinde pin'lenmiş bir iç root ve intermediate işletir.

Fexyn istemcileri Fexyn'in intermediate CA'sını pin'ler. Bir Fexyn sunucusu o intermediate tarafından imzalanmamış bir sertifika sunarsa istemci bağlantıyı reddeder. Bu, ele geçirilmiş bir public CA'nın Fexyn trafiğine MITM yapmak için kullanılmasını engeller — istemci VPN bağlantıları için hiçbir public CA'ya güvenmez, sadece Fexyn'in iç olanına.

Bu yapı, bir Fexyn bağlantısına man-in-the-middle ataknın sadece herhangi rastgele bir CA'yı değil, özellikle Fexyn'in PKI'sını ele geçirmeyi gerektirmesinin nedenidir.

Fexyn'i 7 gün ücretsiz dene — alacağın sertifika Fexyn'in PKI'sından ve 24 saat yaşar.