Što je digitalni certifikat i čemu služi?

Digitalni certifikat je elektronički dokument koji potvrđuje identitet web stranice, organizacije ili pojedinca na internetu. Izdaje ga pouzdano Certifikacijsko tijelo (CA), a povezuje javni ključ s identitetom određenog entiteta, omogućujući šifriranu komunikaciju i potvrđujući da se spajate na legitimni, autentificirani izvor.

Kako su digitalni certifikati povezani sa sigurnošću VPN-a?

VPN-ovi koriste digitalne certifikate za autentifikaciju poslužitelja i klijenata prije uspostave šifriranog tunela. Kada se povežete na VPN, certifikati provjeravaju je li poslužitelj pravi, a ne lažni, čime se sprječavaju man-in-the-middle napadi. Mnogi poslovni VPN-ovi također zahtijevaju klijentske certifikate kako bi potvrdili da samo ovlašteni korisnici i uređaji dobivaju pristup.

Koja je razlika između digitalnog certifikata i digitalnog potpisa?

Digitalni certifikat je vjerodajnica koja dokazuje identitet i sadrži javni ključ, dok je digitalni potpis kriptografski pečat koji se primjenjuje na podatke kako bi se potvrdilo da nisu mijenjani. Certifikat možete zamisliti kao svoju osobnu iskaznicu, a digitalni potpis kao vaš vlastoručni potpis na dokumentu.

Što se događa kada digitalni certifikat istekne ili bude opozvan?

Kada certifikat istekne ili ga opozove njegovo Certifikacijsko tijelo, preglednici i sigurnosni sustavi označavaju vezu kao nepouzdanu, često prikazujući upozorenje ili potpuno blokirajući pristup. U slučaju VPN-ova, istekli certifikat može spriječiti korisnike u povezivanju. Certifikati se obično opozivaju kada su privatni ključevi ugroženi ili kada se vjerodajnice organizacije promijene.

Digitalni certifikat

Digitalni certifikat: Vaša internetska potvrda identiteta

Kada se povežete s web-mjestom, preuzmete softver ili uspostavite VPN tunel, kako znate da zaista komunicirate s onim za koga mislite da jest? To je problem koji digitalni certifikati rješavaju. Zamislite ih kao putovnicu za internet — službeni dokument koji dokazuje da je neki entitet točno onaj za koga se predstavlja.

Što je digitalni certifikat?

Digitalni certifikat je elektronička datoteka koja povezuje javni kriptografski ključ s identitetom — bilo da se radi o web-mjestu, tvrtki, poslužitelju ili pojedinačnom korisniku. Certifikate izdaje i potpisuje pouzdana treća strana koja se naziva Tijelo za izdavanje certifikata (CA), kao što su DigiCert, Let's Encrypt ili GlobalSign.

Kada CA potpiše certifikat, u biti jamči za identitet onoga tko ga posjeduje. Vaš preglednik, operativni sustav i VPN klijent svi održavaju ugrađeni popis pouzdanih CA-ova. Ako certifikat prođe provjeru prema tom popisu, veza se smatra legitimnom.

Kako funkcionira digitalni certifikat?

Digitalni certifikati funkcioniraju unutar šireg sustava koji se naziva Infrastruktura javnog ključa (PKI). Evo pojednostavljenog tijeka:

Poslužitelj ili web-mjesto generira par ključeva — javni ključ (koji se dijeli otvoreno) i privatni ključ (koji ostaje tajan).
Poslužitelj podnosi Zahtjev za potpisivanje certifikata (CSR) Tijelu za izdavanje certifikata, uključujući svoj javni ključ i podatke o identitetu (poput naziva domene).
CA provjerava identitet i izdaje potpisani certifikat koji sadržava javni ključ, podatke o identitetu, datum isteka i vlastiti digitalni potpis CA-a.
Kada se povežete, poslužitelj predočuje svoj certifikat. Vaš preglednik ili klijent provjerava potpis CA-a i verificira da certifikat nije istekao niti je opozvan.
Ako sve prođe provjeru, započinje šifrirana sesija — primjerice pomoću TLS-a — i u traci preglednika možete vidjeti ikonu lokota.

Upravo potpis CA-a čini ovaj sustav pouzdanim. Krivotvorenje tog potpisa bez privatnog ključa CA-a računalno je neizvedivo, zbog čega ovaj sustav funkcionira u velikom opsegu diljem milijardi svakodnevnih veza.

Zašto su digitalni certifikati važni za korisnike VPN-a

VPN-ovi se uvelike oslanjaju na digitalne certifikate za dvije ključne funkcije: autentifikaciju i postavljanje enkripcije.

Autentifikacija osigurava da se vaš VPN klijent zaista povezuje s poslužiteljem vašeg VPN pružatelja usluge — a ne s lažnom verzijom. Bez provjere certifikata, zlonamjerni akter mogao bi izvesti napad čovjeka u sredini (man-in-the-middle), umetajući se između vas i VPN poslužitelja dok se pretvara da je obje strane. Mislili biste da ste šifrirani i privatni, ali vaš promet bio bi potpuno izložen.

Postavljanje enkripcije druga je ključna uloga. Protokoli poput OpenVPN-a i IKEv2 koriste certifikate tijekom faze rukovanja (handshake) kako bi sigurno pregovarali o ključevima enkripcije. Certifikat dokazuje identitet poslužitelja prije nego što se dogodi bilo kakva razmjena osjetljivih ključeva.

Neke poslovne VPN konfiguracije također koriste klijentske certifikate — što znači da i vaš uređaj mora predočiti certifikat poslužitelju prije nego što vam se dopusti povezivanje. To dodaje snažan sloj kontrole pristupa koji nadilazi samo korisnička imena i lozinke.

Praktični primjeri

HTTPS web-mjesta: Svaki put kada vidite `https://` i lokot, digitalni certifikat je u upotrebi — izdan za tu domenu i verificiran od strane CA-a kojemu vaš preglednik vjeruje.
OpenVPN implementacije: OpenVPN prema zadanim postavkama koristi TLS certifikate za autentifikaciju poslužitelja i, po izboru, svakog klijenta. Pogrešno konfigurirani ili samopotpisani certifikati bez odgovarajuće verifikacije poznati su sigurnosni rizik.
Poslovni VPN-ovi: Mnoge tvrtke postavljaju interna Tijela za izdavanje certifikata radi izdavanja certifikata za uređaje zaposlenika, osiguravajući da samo upravljani hardver može pristupiti mreži tvrtke.
Potpisivanje koda: Programeri softvera potpisuju svoje aplikacije certifikatima kako bi vaš operativni sustav mogao verificirati da kod nije izmijenjen od trenutka objavljivanja.

Ograničenja koja treba poznavati

Digitalni certifikati pouzdani su onoliko koliko je pouzdan CA koji ih je izdao. Ako je CA kompromitiran — kao što se dogodilo s DigiNotarom 2011. — mogu se izdati lažni certifikati za važne domene, omogućavajući presretanje u velikim razmjerima. Upravo zato danas postoje zapisi Certificate Transparency (CT): javni, samo-dodajući zapisi svakog izdanog certifikata, što uvelike otežava skrivanje lažnih certifikara.

Certifikati također istječu. Istekli certifikat sam po sebi nije nužno opasan, ali je znak upozorenja da odgovarajuće održavanje možda izostaje.

Razumijevanje digitalnih certifikata pomaže vam shvatiti zašto odabir VPN protokola, ispravna konfiguracija i pouzdanost pružatelja usluge — sve to ima značaja — sigurnost je jaka onoliko koliko je jak lanac koji je drži na okupu.

Digitalni certifikatSrednji