Co je digitální certifikát a k čemu slouží?

Digitální certifikát je elektronický dokument, který ověřuje identitu webové stránky, organizace nebo jednotlivce online. Vydává jej důvěryhodná certifikační autorita (CA) a propojuje veřejný klíč s identitou dané entity. Umožňuje tak šifrovanou komunikaci a potvrzuje, že se připojujete k legitimnímu, ověřenému zdroji.

Jaký mají digitální certifikáty vztah k zabezpečení VPN?

VPN sítě používají digitální certifikáty k autentizaci serverů a klientů před navázáním šifrovaného tunelu. Při připojení k VPN certifikáty ověřují, že server je skutečný a ne podvodník, čímž zabraňují útokům man-in-the-middle. Mnohé firemní VPN sítě také vyžadují klientské certifikáty k potvrzení, že přístup získají pouze oprávnění uživatelé a zařízení.

Jaký je rozdíl mezi digitálním certifikátem a digitálním podpisem?

Digitální certifikát je pověření prokazující identitu, které obsahuje veřejný klíč, zatímco digitální podpis je kryptografická značka aplikovaná na data za účelem ověření, že nebyla pozměněna. Certifikát si představte jako svůj průkaz totožnosti a digitální podpis jako váš ověřený vlastnoruční podpis na dokumentu.

Co se stane, když digitálnímu certifikátu vyprší platnost nebo je odvolán?

Když certifikátu vyprší platnost nebo jej jeho certifikační autorita odvolá, prohlížeče a bezpečnostní systémy označí připojení jako nedůvěryhodné — často zobrazí varování nebo přístup zcela zablokují. V případě VPN může certifikát s vypršenou platností zabránit uživatelům v připojení. Certifikáty jsou zpravidla odvolány v případě kompromitace soukromých klíčů nebo změny přihlašovacích údajů organizace.

Digital Certificate

Digitální certifikát: Průkaz totožnosti pro internet

Když se připojíte k webové stránce, stáhnete software nebo navážete VPN tunel, jak víte, že skutečně komunikujete s tím, s kým si myslíte? Přesně tento problém řeší digitální certifikáty. Představte si je jako pas pro internet — oficiální dokument, který prokazuje, že daná entita je skutečně tím, za koho se vydává.

Co je digitální certifikát?

Digitální certifikát je elektronický soubor, který propojuje veřejný kryptografický klíč s identitou — ať už jde o webovou stránku, společnost, server nebo jednotlivého uživatele. Certifikáty vydává a podepisuje důvěryhodná třetí strana označovaná jako certifikační autorita (CA), například DigiCert, Let's Encrypt nebo GlobalSign.

Když CA certifikát podepíše, v podstatě tím ručí za identitu jeho držitele. Váš prohlížeč, operační systém i VPN klient udržují vestavěný seznam důvěryhodných CA. Pokud certifikát tímto seznamem projde, je připojení považováno za legitimní.

Jak digitální certifikát funguje?

Digitální certifikáty fungují v rámci širšího systému nazývaného infrastruktura veřejného klíče (PKI). Zde je zjednodušený postup:

Server nebo webová stránka vygeneruje pár klíčů — veřejný klíč (sdílený otevřeně) a soukromý klíč (uchovávaný v tajnosti).
Server odešle žádost o podpis certifikátu (CSR) certifikační autoritě, včetně svého veřejného klíče a identifikačních údajů (například názvu domény).
CA ověří identitu a vydá podepsaný certifikát obsahující veřejný klíč, identifikační údaje, datum vypršení platnosti a vlastní digitální podpis CA.
Při připojení server předloží svůj certifikát. Váš prohlížeč nebo klient ověří podpis CA a zkontroluje, zda certifikát nevypršel nebo nebyl odvolán.
Pokud vše souhlasí, zahájí se šifrované spojení — například pomocí TLS — a v adresním řádku prohlížeče se zobrazí ikona zámku.

Podpis CA je tím, co celý systém činí důvěryhodným. Zfalšovat jej bez soukromého klíče CA je výpočetně neproveditelné, a proto tento systém funguje ve velkém měřítku napříč miliardami připojení denně.

Proč jsou digitální certifikáty důležité pro uživatele VPN

VPN sítě se při dvou klíčových funkcích silně opírají o digitální certifikáty: autentizaci a nastavení šifrování.

Autentizace zajišťuje, že se váš VPN klient skutečně připojuje k serveru vašeho poskytovatele VPN — a ne k podvodníkovi. Bez ověření certifikátu by mohl záškodník provést útok man-in-the-middle a vložit se mezi vás a VPN server, přičemž by se vydával za obě strany. Mysleli byste si, že vaše připojení je šifrované a soukromé, ale váš provoz by byl zcela odhalený.

Nastavení šifrování je druhou klíčovou funkcí. Protokoly jako OpenVPN a IKEv2 používají certifikáty během fáze handshake k bezpečnému sjednání šifrovacích klíčů. Certifikát prokazuje identitu serveru dříve, než dojde k jakékoli citlivé výměně klíčů.

Některá firemní VPN řešení využívají také klientské certifikáty — to znamená, že i vaše zařízení musí serveru předložit certifikát, než je vám umožněno se připojit. Tím se přidává silná vrstva řízení přístupu nad rámec pouhých uživatelských jmen a hesel.

Praktické příklady

Webové stránky s HTTPS: Pokaždé, když vidíte `https://` a ikonu zámku, pracuje digitální certifikát vydaný pro danou doménu a ověřený CA, které váš prohlížeč důvěřuje.
Nasazení OpenVPN: OpenVPN ve výchozím nastavení používá TLS certifikáty k autentizaci serveru a volitelně i každého klienta. Špatně nakonfigurované nebo tzv. self-signed certifikáty bez řádného ověření představují známé bezpečnostní riziko.
Firemní VPN sítě: Mnoho společností provozuje interní certifikační autority vydávající certifikáty pro zařízení zaměstnanců, čímž zajišťují, že k firemní síti mají přístup pouze spravovaná zařízení.
Podepisování kódu: Vývojáři softwaru podepisují své aplikace certifikáty, aby mohl váš operační systém ověřit, že kód nebyl od svého zveřejnění pozměněn.

Limity, které je dobré znát

Digitální certifikáty jsou důvěryhodné jen natolik, nakolik je důvěryhodná CA, která je vydala. Pokud je CA kompromitována — jak se stalo v případě DigiNotar v roce 2011 — mohou být vydány podvodné certifikáty pro hlavní domény, což umožňuje rozsáhlé odposlouchávání. Proto dnes existují logy transparentnosti certifikátů (Certificate Transparency, CT): veřejné záznamy s možností pouze přidávání, zachycující každý vydaný certifikát, což výrazně ztěžuje skrývání neoprávněných certifikátů.

Certifikátům také vyprší platnost. Certifikát s vypršenou platností sám o sobě nemusí být nutně nebezpečný, je však varovným signálem, že řádná správa může být zanedbávána.

Porozumění digitálním certifikátům vám pomůže pochopit, proč záleží na volbě VPN protokolu, správné konfiguraci a důvěryhodnosti poskytovatele — bezpečnost je jen tak silná, jak silný je její nejslabší článek.

Digital CertificatePokročilý