Ответ
Центр сертификации (CA, Certificate Authority) — это доверенная третья сторона, которая выпускает и подписывает цифровые сертификаты. Эти сертификаты удостоверяют личность владельца публичного ключа (например, владельца веб-сайта), что является основой для безопасных соединений в интернете, таких как HTTPS.
Роль CA и как работает цепочка доверия:
- Запрос: Владелец сервера генерирует пару ключей (приватный и публичный) и создает запрос на подпись сертификата (CSR), содержащий публичный ключ и информацию о себе.
- Проверка: Владелец отправляет CSR в Центр Сертификации. CA проверяет, действительно ли заявитель владеет доменом или организацией, указанной в запросе.
- Выпуск сертификата: После успешной проверки CA подписывает сертификат своим приватным ключом и отправляет его владельцу сервера. Эта подпись — гарантия подлинности.
- Проверка клиентом: Когда ваш браузер (клиент) подключается к сайту по HTTPS, сервер отправляет ему свой сертификат. Браузер проверяет подпись CA на этом сертификате, используя публичный ключ CA, который уже встроен в браузер или операционную систему. Если подпись верна, соединение считается безопасным.
Ключевые функции CA:
- Верификация: Проверка личности и прав владения ресурсами (доменами, организациями).
- Выпуск и подпись сертификатов: Создание цифровых сертификатов стандарта X.509.
- Управление жизненным циклом сертификатов: Публикация списков отозванных сертификатов (CRL) и предоставление сервисов для проверки статуса сертификата в реальном времени (OCSP).
Популярные публичные CA: Let's Encrypt, DigiCert, GlobalSign, Sectigo. Крупные компании также могут создавать собственные (приватные) CA для внутренних сервисов.