13 нояб. 2024 г.

Обзор промежуточных сертификатов

Что такое промежуточные сертификаты? 

Промежуточные сертификаты находятся между сертификатом пользователя и корневым сертификатом. Они помогают завершить цепочку доверия от вашего сертификата GlobalSign к корневому сертификату удостоверяющего центра.  

Рис.1: Графическое представление иерархии сертификатов GlobalSign SSL  

При установке сертификатов SSL клиенты GlobalSign должны устанавливать соответствующие промежуточные сертификаты на свои веб-серверы. Данную установку требуется провести только один раз. После неё все браузеры, приложения и устройства, доверяющие GlobalSign, будут доверять сертификатам SSL GlobalSign. Если клиенты не установят соответствующие сертификаты, браузеры приложения и устройства не смогут распознать сертификат GlobalSign как доверенный. Посетителям вашего сайта промежуточные сертификаты устанавливать не требуется. 

Рис.2: Цепочка сертификата OrganizationSSL в Internet Explorer 

 

Как найти промежуточные сертификаты на сайте поддержки? 

Промежуточные сертификаты для каждого продукта расположены по адресу: 
https://support.globalsign.com/ca-certificates/intermediate-certificates 

Выберите ваш тип продукта и выберите желаемый тип сертификата в зависимости от размера ключа или хэш-алгоритма. 

 

Зачем GlobalSign использует промежуточные сертификаты? 

GlobalSign всегда стремился к максимальной безопасности при выпуске цифровых сертификатов. Мы используем цепочку доверия, помогающую обеспечить работу корневого сертификата GlobalSign  (сертификата, предустановленного во всех популярных браузерах, приложениях и мобильных устройствах) находящегося “офлайн” и помещённого в максимально безопасную среду с ограниченным доступом. Это означает, что корневой сертификат не используется для подписи конечных сертификатов пользователей напрямую. Таким образом, GlobalSign использует наилучшие практики в обеспечении безопасности инфраструктуры открытых ключей, защищая её от компрометации ключей. Скомпрометированный корневой сертификат приведёт к тому, что все сертификаты, выпущенные с его подписью, станут недоверенными. Сохраняя наш корневой сертификат офлайн, мы значительно уменьшаем риск его компрометации. 

Промежуточные сертификаты используются всеми основными удостоверяющими центрами для обеспечения высокого уровня безопасности. По этой причине GlobalSign имеет давнюю историю использования промежуточных сертификатов. 

На рисунке 3 ниже показан путь сертификации успешно установленного сертификата OrganizationSSL с доменным именем "www.globalsign.com". 

Примечание: цепочка сертификатов для DomainSSL будет использовать "GlobalSign GCC R3 DV TLS CA 2020'" вместо "GlobalSign Organization Validation CA". 

 

Рисунок 3: Путь сертификации ExtendedSSL в Firefox 

Используя Firefox для просмотра свойств сертификата в случае успешно установленного ExtendedSSL вы можете увидеть промежуточные сертификаты и всю цепочку сертификатов. Если же вы используете Internet Explorer 7 для просмотра цепочки ExtendedSSL, вы отметите наличие лишь трёх сертификатов, а не четырёх, как на рисунке выше. Это связано с тем, что IE7 пропускает кросс-сертификат и ведёт цепочку к другому корневому сертификату.