Приветствую всех! В статье про HTTPS я мельком упомянул про "центры сертификации" - те самые конторы, которые ставят цифровую печать в SSL-сертификаты. И один умный комментарий спросил: "А что, если такой центр скомпрометируют? Вся безопасность интернета рухнет?"
Отличный вопрос. Давайте разбираться, кто эти цифровые нотариусы и почему на их честности держится весь наш доверенный интернет.
Аналогия: Всемирное бюро паспортов
Представьте, что в мире нет стран и паспортов. Путешествуете вы, значит, с бумажкой, на которой написано "Вася Пупкин, хороший человек". Любой мошенник может написать себе такую же.
А теперь появилось Всемирное бюро доверия. Вы приходите туда, доказываете, что вы - это вы (скажем, владелец домена mybank.ru). Бюро проверяет вас и выдает особый документ с высокой технологичной печатью, которую почти невозможно подделать. Это ваш SSL-сертификат.
Теперь, когда вы (ваш сервер) где-то "предъявляете личность", любой полицейский (ваш браузер) может проверить печать этого Бюро и понять - да, это настоящий Вася Пупкин (настоящий mybank.ru), а не самозванец.
Центры сертификации (Certificate Authorities, CA) - и есть такие бюро. Их не один, а много - Verisign, DigiCert, Let's Encrypt и другие. Их корневые сертификаты (образцы "печатей") вшиты в ваш браузер, ОС и телефон. Именно поэтому вы доверяете сайту с замочком - вы доверяете не ему лично, а тому CA, который его проверил и подписал.
Что будет, если такое бюро взломают?
Вот тут начинается настоящий детектив. Если злоумышленники получат контроль над удостоверяющим центром, они смогут выдать фальшивый паспорт кому угодно. Например, подписать сертификат для домена google.com. И тогда ваш браузер, проверяя подделку, скажет: "Да, печать настоящего бюро, всё в порядке" - и откроет мошеннический сайт, который выглядит как Гугл.
Это не гипотетическая угроза. Такое уже было:
- 2011 год, DigiNotar. Голландский CA был взломан, и злоумышленники выпустили поддельные сертификаты для Gmail, Skype, ЦРУ и других. Итог - компания обанкротилась за несколько месяцев.
- Инциденты с Comodo, Symantec. Были проблемы, но менее масштабные.
Система защиты: Чёрные списки и всевидящее око
Полный крах не случился, потому что система построена с пониманием, что кто-то может пасть. Вот её основные страховки:
- Сертификат прозрачности (Certificate Transparency, CT). Это публичный лог, куда обязан записываться ВСЯКИЙ выпущенный сертификат. Представьте, что все выданные паспорта автоматически публикуются в гигантской газете. Если мошенник получит фальшивый, он попадет в эту лог-книгу. Google, Mozilla и другие следят за этими логами. Если видят, что для google.com вдруг выпустили сертификат в Египте, не спросив их, - это красная тревога.
- Отзыв сертификатов (CRL/OCSP). Если ключи CA скомпрометированы, их корневой сертификат отзывают и заносят в "чёрный список". Он перестаёт быть доверенным. Встроенный в систему образец печати объявляется недействительным. Это болезненно - все сайты, которые он подписал, перестанут работать, пока не получат новый сертификат от другого бюро.
- Короткий срок жизни. Раньше сертификаты выдавали на годы. Сейчас - на 90 дней (особенно у лидера Let's Encrypt). Это минимизирует ущерб, если сертификат всё же украдут.
Итог: Наша доверенная паутина - это не монолит, а экосистема. Она построена не на слепой вере, а на системе взаимной проверки, прозрачности и быстрого реагирования. Да, отдельные бюро могут оказаться ненадёжными. Но система в целом выживает, отторгая их, как организм - больные клетки.
P.S. Если тема зашла - в следующей можем разобрать, чем TLS 1.3 круче старого 1.2, или как устроен тот самый бесплатный Let's Encrypt, который перевернул рынок. Лайк - решает следующую тему.
А вы задумывались, кому ваш браузер доверяет по умолчанию? Или думали, что все эти сертификаты - магия? Пишите в комментах.