28 янв. 2025 г.

Обзор - Промежуточные сертификаты

Что такое промежуточные сертификаты? 

Промежуточные сертификаты находятся между сертификатом конечной организации и корневым сертификатом. Они помогают завершить «цепочку доверия» от Вашего сертификата до корневого сертификата GlobalSign. 
 

Рисунок 1: Графическое представление иерархии сертификатов корневого центра GlobalSign SSL 

Клиенты, устанавливающие SSL-сертификат GlobalSign, должны установить соответствующий промежуточный сертификат на свои веб-серверы. Эта установка необходима только один раз. После установки все браузеры, приложения и аппаратные средства, распознающие GlobalSign, будут доверять SSL-сертификатам GlobalSign. Если клиенты не установят соответствующий Промежуточный сертификат, браузеры, приложения и оборудование не смогут распознать SSL-сертификаты GlobalSign как доверенные. Промежуточные сертификаты не нужно устанавливать посетителям Вашего сайта. 
 

Рисунок 2: Путь сертификата OrganizationSSL в Internet Explorer 

Где расположены промежуточные сертификаты на сайте поддержки? 

Промежуточные сертификаты для каждого продукта можно найти по следующему URL: 

https://support.globalsign.com/ca-certificates/intermediate-certificates. 

Выберите тип продукта, затем выберите тип сертификата, который Вам нужен, исходя из размера ключа или хэш-алгоритма. 

Почему GlobalSign использует промежуточные сертификаты? 

Компания GlobalSign всегда придерживалась модели высокой безопасности при выпуске цифровых сертификатов. Мы используем цепочку доверия, которая гарантирует, что основной корневой ЦС GlobalSign (т.е. сертификат, который предустанавливается во все основные браузеры, приложения и мобильные/аппаратные устройства) находится в «автономном режиме» и хранится в высокозащищенной среде со строго ограниченным доступом. Это означает, что корневой ЦС не используется для прямой подписи SSL-сертификатов конечных пользователей. Таким образом, GlobalSign использует передовой опыт для своей инфраструктуры открытых ключей, защищаясь от основных последствий «компрометации ключа». Компрометация ключа корневого центра сертификации приведет к тому, что корневой центр и все сертификаты, выпущенные им, станут недостоверными. Благодаря тому, что наш корневой центр находится в автономном режиме, вероятность компрометации ключа значительно ниже. 

Промежуточные сертификаты используются всеми основными центрами сертификации из-за дополнительного уровня безопасности, который они обеспечивают. Компания GlobalSign уже давно использует промежуточные сертификаты именно по этой причине. 

На Рисунке 3 ниже показан путь сертификации успешно установленного сертификата OrganizationSSL и его промежуточных сертификатов, где «www.globalsign.com» - это Ваше общее/доменное имя. 

Примечание: Путь сертификации DomainSSL будет использовать «GlobalSign Domain Validation CA'» вместо «GlobalSign Organization Validation CA». 

 

Рисунок 3: Путь сертификации ExtendedSSL в Firefox 

Использование Firefox для просмотра сведений о сертификате успешно установленного ExtendedSSL и его промежуточных продуктов показывает Вам, как будет выглядеть путь сертификации. Если использовать Internet Explorer 7 для просмотра пути сертификации ExtendedSSL, Вы заметите, что там только три сертификата, а не четыре, как здесь. Это происходит потому, что IE7 обходит кросс-сертификат и обращается к другому корневому.