Proč musím věřit tolika CA?

Historický a provozní. Různé CA slouží různým regionům, vládám a segmentům trhu; prořezávání by prolomilo cesty důvěry. Prohlížeče pravidelně odstraňují CA, které se chovají špatně. Seznam spravují Mozilla, Apple, Microsoft a Google – žádný z nich nechce důvěřovat zbytečným certifikačním autoritám, protože každý z nich představuje potenciální útočnou plochu.

Mohu provozovat vlastní CA?

Pro interní použití ano – mnoho organizací provozuje soukromé CA a instaluje svůj kořenový certifikát na spravovaná zařízení. V případě veřejného TLS ne – prohlížeče nebudou důvěřovat vašemu rootu, aniž by prošly léty prověřování CA Browser Forum. Veřejné CA jsou úzkou regulovanou kategorií z dobrého důvodu.

Co se stane, když CA ukončí činnost?

Prohlížeče postupně odebírají CA z důvěryhodných úložišť, zatímco stávající certifikáty se nadále ověřují, dokud nevyprší jejich platnost. Držitelé certifikátů se obvykle před vypršením platnosti obrátí na jinou CA. Nedůvěra společnosti Symantec se odehrávala 18 měsíců v fázích koordinovaných prohlížečem.

Vidí CA moje procházení?

Krok vydání je jednorázový. Poté server předloží certifikát vašemu prohlížeči, není vyžadována žádná zpětná cesta CA (pokud není dotazován OCSP a moderní sešívání tuto odpovědnost přenese na server). CA nevidí váš každodenní provoz.

Proč jsou nyní certifikáty omezeny na 397 dní?

Kratší životnost omezuje poškození způsobená kompromitovanými certifikáty a disciplínou rotace sil. Fórum CA/Browser Forum postupně snížilo maximum z 5 let na 2 roky na 1 rok (397 dní) s návrhy na další snížení (90 dní nebo ještě kratší dobu). Automatizace prostřednictvím ACME umožňuje provozně kratší životnost.

Vysvětlení certifikačních autorit: Důvěryhodná infrastruktura, díky které funguje HTTPS

Když váš prohlížeč zobrazuje visací zámek, ručí za identitu serveru – a toto ručení nakonec spočívá na malé skupině organizací zvaných certifikační autority. Pochopení toho, co CA skutečně dělají, jak si získávají jejich důvěru a jak byla tato důvěra v průběhu let narušena a znovu vybudována, vysvětluje mnohé o tom, proč je moderní web takový, jaký je.

Celé tělo článku je uvedeno níže v angličtině.

A Certificate Authority (CA) je organizace, která vydává digitální certifikáty vázající veřejné klíče k identitám. Nejznámější rolí je vydávání certifikátů TLS: když example.com předloží svůj certifikát vašemu prohlížeči, váš prohlížeč ověří podpis CA, a pokud je CA v úložišti důvěryhodnosti, připojení pokračuje. Celý aparát se nazývá Public Key Infrastructure (PKI).

Co certifikát obsahuje

Certifikát X.509 je strukturovaný dokument obsahující:

Předmět — například *comample pro certifikát.com.com. zástupné znaky)
Veřejný klíč subjektu
Issuer – CA, která jej podepsala
Období platnosti – aktuálně omezeno na 3 dny začátku a konce prohlížeče
Sériové číslo
Rozšíření — Subject Alternative Names (další domény), omezení použití klíčů, CRL/OCSP URL pro kontrolu odvolání PLZ34 theZ376XXX overTheZ337XXX overTheZ336XXX overTheVšechny podpis výše

Jak funguje řetězec důvěry

Prohlížeče a operační systémy se dodávají se seznamem důvěryhodných root CAs – asi 100 z nich v Chrome, podobně jako v Mozille, Apple, Microsoft. Každá kořenová CA má veřejný klíč a certifikáty podepsané tímto kořenovým klíčem (přímo nebo prostřednictvím zprostředkujících CA) jsou důvěryhodné prohlížečem.

V praxi kořenové CA podepisují zprostředkující certifikáty CA a zprostředkující CA podepisují certifikáty koncové entity (serveru). To chrání root: soukromý klíč root je udržován offline a používá se pouze k podepisování meziproduktů; pokud dojde ke kompromitaci meziproduktu, může jej root odvolat, aniž by odstranil celou CA.

Ověřovací postup, když se váš prohlížeč připojí k example.com:

Server odešle svůj certifikát plus jakékoli zprostředkující certifikáty.
Browser zkontroluje, zda je certifikát serveru podepsán5XXBrowser.Z5XXPL meziprodukt je podepsán kořenem v důvěryhodném úložišti.
Prohlížeč zkontroluje data, název domény v certifikátu, použití klíče a stav odvolání.
Pokud všechny kontroly projdou, připojení pokračuje.

Jak certifikační úřady ověřují vlastnictvíXPLZ65pro příklad, a CA ověřuje certifikát CA.XPLZ6 žadatel ve skutečnosti ovládá example.com. Tři úrovně ověření:
Ověření domény (DV) – CA ověřuje kontrolu nad doménou prostřednictvím DNS, HTTP nebo e-mailových výzev. Všechny certifikáty Let's Encrypt jsou DV. Společné pro většinu webového provozu. Levné nebo zdarma.
Ověření organizace (OV) — přidává ověření právní identity žádající organizace. Dražší, obsahuje název organizace v certifikátu.
Extended Validation (EV) — rozsáhlé prověřování organizace. Používá se ke spuštění zeleného adresního řádku; moderní prohlížeče již neposkytují speciální uživatelské rozhraní EV.

Když se to CA pomýlí

Model důvěry se přeruší, pokud nějaká důvěryhodná CA vydá certifikát pro doménu nesprávné straně. Historické incidenty:

DigiNotar (2011) — Nizozemská CA byla porušena a vydala podvodné certifikáty pro Google, Yahoo a další. Certifikáty byly použity při útocích MITM proti íránským disidentům. DigiNotar byl odstraněn z důvěryhodných obchodů a zkrachoval.
Comodo (2011) — podvodné certifikáty vydané pro velké značky po kompromisu prodejce.
Symantec (2017) let – vícenásobné selhání. Prohlížeče postupně v letech 2018–2019 nedůvěřovaly kořenům Symantecu; Symantec prodal svůj podnik CA společnosti DigiCert.

Certificate Transparency: moderní ochranná zábradlí

Od roku 2018 vyžadují prohlížeče, aby se certifikáty objevily ve veřejných protokolech Certificate Transparency (Z106) a teprve poté budou přijaty. Každý certifikát, který kdy byla vydána důvěryhodná CA, je veřejně zaprotokolován do několika hodin od vydání. Kdokoli může sledovat neočekávané certifikáty ve své doméně pomocí nástrojů jako crt.sh.

To dramaticky omezuje špatné chování CA: špatně vydaný certifikát je zjistitelný a v sázce je pověst vydávajícího CA. Počet incidentů s podvodným vydáním prudce klesl od doby, kdy se CT stalo povinným.

Zrušení: stále poškozená část

Když je ohrožen soukromý klíč certifikátu, certifikát by měl být odvolán. Existují dva mechanismy:

CRL (Seznam odvolaných certifikátů) — pravidelně stahovaný seznam odvolaných sériových čísel. Aktualizace je pomalá.
OCSP (Online Certificate Status Protocol) — online kontrola jednotlivých certifikátů. Rychlejší, ale představuje únik soukromí (odpovídač OCSP se dozví, které stránky navštěvujete).

Oba mají problémy. Seznamy CRL byly příliš velké na to, aby je bylo možné běžně načítat. OCSP může dojít k mírnému selhání (pokud je server pomalý, prohlížeč připojení přesto povolí, čehož útočník zneužije blokováním OCSP). Moderní prohlížeče přešly na CRLite, CRLSets a podobná hromadná stahování. Odvolání v roce 2026 je lepší, než bylo, stále nedokonalé.

Kdo dnes provozuje hlavní CA

Let's Encrypt / ISRG — bezplatné DV certifikáty, dominantní podle počtu certifikátůXPLZ25Z27XXertx majorDig PLXX CA, ate Symantec
Sectigo – dříve Comodo, široká přítomnost na trhu
GoDaddy – v kombinaci s jejich hostingem
PL40 komerční CA
Apple, Amazon, Google – poskytovatelé cloudu provozující CA pro své vlastní zákazníky

Často kladené otázky

Proč musím věřit tolika CA?: Historický a provozní. Různé CA slouží různým regionům, vládám a segmentům trhu; prořezávání by prolomilo cesty důvěry. Prohlížeče pravidelně odstraňují CA, které se chovají špatně. Seznam spravují Mozilla, Apple, Microsoft a Google – žádný z nich nechce důvěřovat zbytečným certifikačním autoritám, protože každý z nich představuje potenciální útočnou plochu.
Mohu provozovat vlastní CA?: Pro interní použití ano – mnoho organizací provozuje soukromé CA a instaluje svůj kořenový certifikát na spravovaná zařízení. V případě veřejného TLS ne – prohlížeče nebudou důvěřovat vašemu rootu, aniž by prošly léty prověřování CA Browser Forum. Veřejné CA jsou úzkou regulovanou kategorií z dobrého důvodu.
Co se stane, když CA ukončí činnost?: Prohlížeče postupně odebírají CA z důvěryhodných úložišť, zatímco stávající certifikáty se nadále ověřují, dokud nevyprší jejich platnost. Držitelé certifikátů se obvykle před vypršením platnosti obrátí na jinou CA. Nedůvěra společnosti Symantec se odehrávala 18 měsíců v fázích koordinovaných prohlížečem.
Vidí CA moje procházení?: Krok vydání je jednorázový. Poté server předloží certifikát vašemu prohlížeči, není vyžadována žádná zpětná cesta CA (pokud není dotazován OCSP a moderní sešívání tuto odpovědnost přenese na server). CA nevidí váš každodenní provoz.
Proč jsou nyní certifikáty omezeny na 397 dní?: Kratší životnost omezuje poškození způsobená kompromitovanými certifikáty a disciplínou rotace sil. Fórum CA/Browser Forum postupně snížilo maximum z 5 let na 2 roky na 1 rok (397 dní) s návrhy na další snížení (90 dní nebo ještě kratší dobu). Automatizace prostřednictvím ACME umožňuje provozně kratší životnost.