Certificate Authority là gì? Cách xác minh độ tin cậy của chứng chỉ số

Certificate Authority, hoặc còn được gọi là CA, là một tổ chức hoặc công ty được ủy quyền để cấp phát các chứng chỉ số, hay còn gọi là SSL/TLS certificate, cho các trang web và ứng dụng trên internet. Những chứng chỉ số này giúp cho việc truy cập vào các trang web và ứng dụng trở nên an toàn hơn bằng cách mã hóa thông tin truyền tải giữa máy tính của người dùng và máy chủ của trang web hoặc ứng dụng.

Tuy nhiên, Certificate Authority không chỉ đơn thuần là một tổ chức cấp phát chứng chỉ số, mà còn là một bộ phận quan trọng của hệ thống an ninh mạng toàn cầu. Nhờ vào quy trình kiểm tra nghiêm ngặt, CA đảm bảo rằng chỉ các trang web và ứng dụng đáng tin cậy mới được cấp phát chứng chỉ số, và tránh được những nguy cơ an ninh mạng như tấn công giả mạo, tấn công phishing, tấn công tài khoản và nhiều hơn nữa.

Trong bài viết này, chúng ta sẽ cùng tìm hiểu thêm về Certificate Authority, quá trình cấp phát chứng chỉ số, cũng như vai trò của nó trong việc bảo vệ an ninh mạng toàn cầu.

Certificate Authority (CA) là gì?

Certificate Authority (CA) hay nhà cung cấp chứng chỉ số, là một công ty hoặc tổ chức hoạt động để xác thực danh tính của các dữ liệu số (chẳng hạn như trang web, địa chỉ email, công ty hoặc cá nhân) và ràng buộc họ với các khóa mật mã thông qua việc phát hành các tài liệu điện tử được gọi là chứng chỉ kỹ thuật số (Digital Certificate).

Chứng chỉ số (Digital Certificate) là gì?
Chứng chỉ số đem đến:

• Sự xác thực, bằng cách đóng vai trò là thông tin xác thực để xác thực danh tính của thực thể mà nó được cấp cho.
• Mã hóa, để liên lạc an toàn qua các mạng không an toàn như Internet.
• Tính toàn vẹn của các tài liệu được ký bằng chứng chỉ để bên thứ ba không thể thay đổi chúng trong quá trình vận chuyển.

Thông thường, người nộp đơn xin chứng chỉ số sẽ tạo ra một key pair bao gồm private key và public key, cùng với yêu cầu ký chứng chỉ (CSR). CSR là một tệp văn bản được mã hóa bao gồm public key và các thông tin khác sẽ được bao gồm trong chứng chỉ (ví dụ: tên miền, tổ chức, địa chỉ email, v.v.).

Key pair và tạo CSR thường được thực hiện trên máy chủ hoặc máy trạm nơi chứng chỉ sẽ được cài đặt và loại thông tin có trong CSR khác nhau tùy thuộc vào mức độ xác thực và mục đích sử dụng của chứng chỉ. Không giống như public key, private key của người nộp đơn được giữ an toàn và không bao giờ được hiển thị cho CA (hoặc bất kỳ ai khác).

Sau khi tạo CSR, người nộp đơn gửi nó đến CA, người này xác minh độc lập rằng thông tin chứa trong đó là chính xác và, nếu có, ký điện tử chứng chỉ bằng private key tư phát hành và gửi cho người nộp đơn.

Khi chứng chỉ đã ký được trình bày cho bên thứ ba (chẳng hạn như khi người đó truy cập trang web của chủ sở hữu chứng chỉ), người nhận có thể xác nhận bằng mật mã chữ ký số của CA thông qua public key của CA.

Ngoài ra, người nhận có thể sử dụng chứng chỉ để xác nhận rằng nội dung đã ký được gửi bởi ai đó sở hữu private key tương ứng và thông tin không bị thay đổi kể từ khi được ký. Một phần quan trọng của khía cạnh này của chứng chỉ là một thứ gọi là chuỗi tin cậy.

Chứng chỉ SSL/TLS là gì?

Giao thức Transport Layer Security (TLS) sử dụng chứng chỉ SSL để mã hóa và xác thực luồng dữ liệu cho Hypertext Transfer Protocol Secure (HTTPS). Giao thức mật mã SSL tạo điều kiện cho các kết nối được mã hóa an toàn qua internet thông qua các trình duyệt web kết nối với các trang web. SSL hoạt động trên HTTP để tạo kết nối HTTPS.

Chứng chỉ SSL đôi khi được gọi là chứng chỉ SSL / TLS  hoặc đơn giản là chứng chỉ TLS. TLS là phiên bản nâng cấp của SSL.

Tương tự như SSL, HTTP được xếp lớp trên TLS để tạo HTTPS. Nó mã hóa dữ liệu có thể đọc được để cung cấp khả năng bảo vệ nâng cao cho các ứng dụng và trang web yêu cầu quyền riêng tư và bảo mật cao hơn, chẳng hạn như những trang web liên quan đến ngân hàng, thuế và thương mại điện tử.

TLS cũng cung cấp quyền riêng tư giữa các điểm cuối của việc truyền dữ liệu và tăng cường tính toàn vẹn dữ liệu để tin tặc không thể chặn hoặc xâm phạm dữ liệu cá nhân.

Khi trình duyệt web bắt đầu kết nối an toàn qua HTTPS, chứng chỉ kỹ thuật số SSL/TLS được gửi đến trình duyệt web. Trình duyệt kiểm tra thông tin trong chứng chỉ và xác thực thông tin đó với kho lưu trữ chứng chỉ gốc của chính nó.

Đây là cách chứng chỉ đảm bảo các kết nối an toàn, được mã hóa giữa trình duyệt của người dùng và máy chủ web của tổ chức hoặc máy chủ web của trang web.

Khi tính năng này hoạt động, người dùng sẽ không thấy thông báo cảnh báo trong trình duyệt của họ, chẳng hạn như "không chắc chắn" hoặc "kết nối của bạn không phải là riêng tư". Chúng được hiển thị cho các trang web không an toàn.

Tất cả các trình duyệt chính, bao gồm cả những trình duyệt được cung cấp bởi Microsoft (Internet Explorer, Edge), Google (Chrome), Apple (Safari) và Mozilla (Firefox) đều duy trì kho chứng chỉ gốc trình duyệt web của riêng họ. Đây là nơi họ đăng chứng chỉ gốc của CA mà nhà xuất bản đã quyết định trình duyệt của họ sẽ tin tưởng.

Cách nhà cung cấp phát hành chứng chỉ số (cách xác minh độ tin cậy của chứng chỉ số)

Chứng chỉ SSL / TLS xác thực và bảo mật các trang web và tạo điều kiện cho các kết nối an toàn, được mã hóa. Họ cho người dùng biết họ đang truy cập một trang web chính hãng bằng cách hiển thị biểu tượng ổ khóa trong trình duyệt web.

Là thành phần quan trọng của PKI, chứng chỉ SSL / TLS yêu cầu chứng chỉ kỹ thuật số để hoạt động. Đây là lúc nhà cung cấp chứng chỉ số xuất hiện.

Một thực thể -- tổ chức hoặc cá nhân -- có thể yêu cầu chứng chỉ số từ nhà cung cấp chứng chỉ số (CA). Đầu tiên, nó tạo ra một cặp khóa, bao gồm những điều sau đây:

• private key, luôn được giữ bí mật và không bao giờ được hiển thị cho bất kỳ ai, kể cả CA; và
• public key, được đề cập trong chứng chỉ số mà CA cấp - người nộp đơn cũng tạo yêu cầu ký chứng chỉ (CSR), một tệp văn bản được mã hóa chỉ định thông tin sẽ được bao gồm trong chứng chỉ, chẳng hạn như sau:
  • tên miền;
  • tên miền bổ sung hoặc thay thế, bao gồm tên miền phụ;
  • tổ chức;
  • chi tiết liên hệ, ví dụ: địa chỉ email.

Thông tin có trong CSR phụ thuộc vào mục đích sử dụng của chứng chỉ và mức độ xác thực của chứng chỉ. Cả hai quy trình trên thường được thực hiện trên máy chủ - hoặc máy trạm - nơi chứng chỉ sẽ được cài đặt.

Người nộp đơn sau đó gửi CSR đến CA, nơi xác minh thông tin trong CSR và danh tính của người nộp đơn. Sau đó, CA tạo chứng chỉ số, ký điện tử bằng khóa riêng và gửi chứng chỉ cho người nộp đơn.

Tại thời điểm này, chứng chỉ kỹ thuật số này có thể được xác thực - ví dụ bởi trình duyệt web - bằng public key của CA. Trình duyệt cũng có thể sử dụng chứng chỉ để xác nhận rằng nội dung được ký điện tử được gửi bởi một thực thể hợp pháp giữ private key tương ứng và thông tin này đã không bị thay đổi kể từ khi được ký bởi thực thể đó.

CA thường chấp nhận yêu cầu trực tiếp từ người nộp đơn. Đôi khi, họ giao nhiệm vụ xác thực người nộp đơn cho cơ quan đăng ký (RC). RA thu thập và xác thực các yêu cầu chứng chỉ kỹ thuật số và sau đó gửi các yêu cầu đó đến CA, sau đó cấp chứng chỉ sẽ được chuyển qua RA cho người nộp đơn.

RA cũng có thể được sử dụng để tiếp thị và hỗ trợ khách hàng. CA được yêu cầu giới hạn RA trong việc đăng ký chứng chỉ trong không gian tên miền được gán cho RA.

Cách đăng ký SSL với Certificate Authority

Để đăng ký SSL với một Certificate Authority (CA), bạn cần thực hiện các bước sau:

• Chọn một CA: Trước khi đăng ký SSL, bạn cần chọn một CA đáng tin cậy và phù hợp với nhu cầu của mình.

• Đăng ký tên miền: Bạn cần đăng ký tên miền cho trang web của mình và xác nhận địa chỉ email được liên kết với tên miền.

• Tạo yêu cầu chứng chỉ: Sau khi đăng ký tên miền, bạn cần tạo một yêu cầu chứng chỉ SSL bằng cách tạo một khóa công khai (public key) và khóa riêng tư (private key) cho máy chủ của bạn.

• Thực hiện xác thực: Sau khi tạo yêu cầu chứng chỉ, bạn sẽ phải thực hiện quá trình xác thực với CA. Quá trình này thường bao gồm kiểm tra các thông tin liên quan đến tên miền, cấp phép và quyền sở hữu trang web.

• Cấp phát chứng chỉ: Nếu CA xác nhận được các thông tin của bạn là hợp lệ, họ sẽ cấp phát một chứng chỉ SSL cho bạn. Chứng chỉ này sẽ được tải xuống và cài đặt trên máy chủ của bạn để bảo vệ trang web của bạn.

Quá trình đăng ký SSL với một Certificate Authority có thể phức tạp và đòi hỏi kiến thức về bảo mật mạng. Nếu bạn không tự tin về khả năng của mình, bạn nên xem xét thuê một nhà cung cấp dịch vụ bảo mật mạng để họ giúp bạn đăng ký SSL.

Chuỗi tin cậy (chain of trust) là gì?

Trong SSL/TLS, S/MIME, code signing và các ứng dụng khác  của chứng chỉ số X.509, một hệ thống phân cấp chứng chỉ được sử dụng để xác minh tính hợp lệ của tổ chức phát hành chứng chỉ. Hệ thống phân cấp này được gọi là một chuỗi tin cậy. Trong một chuỗi tin cậy, chứng chỉ được cấp và ký bởi các chứng chỉ sống cao hơn trong hệ thống phân cấp.

Một chuỗi tin cậy bao gồm các thành phần:

1. Một trust anchor, là cơ quan cấp chứng chỉ gốc (CA).
2. Ít nhất một intermediate certificate (intermediate certificate), đóng vai trò là "vật liệu khoảng cách" giữa CA và end-entity certificate.
3. Chứng chỉ end-entity certificate, được sử dụng để xác thực danh tính của một thực thể như trang web, doanh nghiệp hoặc cá nhân. Thật dễ dàng để thấy một chuỗi tin cậy cho chính bạn bằng cách kiểm tra chứng chỉ của trang web HTTPS. Khi bạn kiểm tra chứng chỉ SSL/TLS trong trình duyệt web, bạn sẽ tìm thấy bảng phân tích chuỗi tin cậy của chứng chỉ kỹ thuật số đó, bao gồm trust anchor, intermediate certificate và end-entity certificate. Các điểm xác minh khác nhau này được sao lưu bởi tính hợp lệ của lớp trước đó hoặc "link", quay trở lại trust anchor. Ví dụ dưới đây cho thấy chuỗi tin cậy từ trang web của SSL.com, dẫn đầu từ chứng chỉ trang web thực thể cuối trở lại CA gốc, thông qua một intermediate certificate:

Trust anchor là gì?

Nhà cung cấp chứng chỉ gốc (CA) đóng vai trò là trust anchor  trong một chuỗi tin cậy. Tính hợp lệ của trust anchor này là rất quan trọng đối với tính toàn vẹn của toàn bộ chuỗi. Nếu  CA được công khai tin cậy (như SSL.com), chứng chỉ CA gốc được các công ty phần mềm lớn đưa vào trình duyệt và phần mềm hệ điều hành của họ.

Việc bao gồm này đảm bảo rằng các chứng chỉ trong một chuỗi tin cậy dẫn trở lại bất kỳ chứng chỉ gốc nào của CA sẽ được phần mềm tin cậy. Dưới đây, bạn có thể thấy neo tin cậy từ trang web của SSL.com (SSL.com EV Root Certification Authority RSA R2):

Intermediate certificate là gì?

CA gốc hoặc Trust anchor có khả năng ký và cấp intermediate certificate. Intermediate certificate (còn được gọi là CA trung cấp, cấp dưới hoặc  cấp CA) cung cấp một cấu trúc linh hoạt để trao tính hợp lệ của neo tin cậy cho các intermediate certificate và thực thể cuối bổ sung trong chuỗi.

Theo nghĩa này, intermediate certificate phục vụ một chức năng hành chính; mỗi trung gian có thể được sử dụng cho một mục đích cụ thể - chẳng hạn như cấp SSL / TLS hoặc chứng chỉ ký mã - và thậm chí có thể được sử dụng để trao niềm tin gốc của CA cho các tổ chức khác.

Intermediate certificate cũng cung cấp bộ đệm giữa end-entity certificate và CA gốc, bảo vệ khóa gốc riêng tư khỏi bị xâm phạm. Đối với các CA được tin cậy công khai (bao gồm cả SSL.com), Yêu cầu cơ bản của diễn đàn CA / Trình duyệt thực  sự cấm cấp end-entity certificate trực tiếp từ CA gốc, phải được giữ ngoại tuyến một cách an toàn.

Điều này có nghĩa là mọi chuỗi tin cậy của chứng chỉ được tin cậy công khai sẽ bao gồm ít nhất một intermediate certificate. Trong ví dụ được hiển thị bên dưới, SSL.com EV SSL Intermediate CA RSA R3 là intermediate certificate duy nhất trong chuỗi tin cậy của trang web SSL.com. Như tên gọi của chứng chỉ, nó chỉ được sử dụng để cấp chứng chỉ EV SSL / TLS:

End-entity certificate là gì?

End-entity certificate là liên kết cuối cùng trong chuỗi tin cậy. End-entity certificate (đôi khi được gọi là  chứng chỉ lá hoặc chứng chỉ thuê bao), phục vụ để trao niềm tin của CA gốc, thông qua bất kỳ trung gian nào trong chuỗi, cho một thực thể như trang web, công ty, chính phủ hoặc cá nhân.

End-entity certificate khác với chứng chỉ neo tin cậy hoặc intermediate certificate ở chỗ nó không thể phát hành chứng chỉ bổ sung. Theo một nghĩa nào đó, đó là liên kết cuối cùng liên quan đến chuỗi. Ví dụ dưới đây cho thấy chứng chỉ SSL/TLS thực thể cuối từ trang web của SSL.com:

Tại sao một chuỗi tin cậy (chain of trust) lại quan trọng?

Một chuỗi tin cậy đảm bảo tính bảo mật, khả năng mở rộng và tuân thủ các tiêu chuẩn cho các CA. Nó cũng đảm bảo quyền riêng tư, sự tin cậy và bảo mật cho những người dựa vào end-entity certificate, chẳng hạn như nhà điều hành trang web và người dùng.

Lưu ý: Mặc dù bất kỳ tổ chức nào, chẳng hạn như bộ phận công ty hoặc cơ quan chính phủ, đều có thể vận hành CA, các CA thương mại như SSL.com có thể cung cấp chứng chỉ được tin cậy công khai cho các mục đích như trang web HTTPS, email S/MIME, ký mã và tài liệu mà không gặp rắc rối khi phải duy trì lòng tin của công chúng và PKI đã được kiểm toán. SSL.com cung cấp PKI được lưu trữ với sự tin tưởng của công chúng hoặc tư nhân cho cả doanh nghiệp và chính phủ  khách hàng.

Kết luận

Certificate Authority là một tổ chức hoặc công ty được ủy quyền để cấp phát các chứng chỉ số, hay còn gọi là SSL/TLS certificate, cho các trang web và ứng dụng trên internet. Những chứng chỉ số này giúp cho việc truy cập vào các trang web và ứng dụng trở nên an toàn hơn bằng cách mã hóa thông tin truyền tải giữa máy tính của người dùng và máy chủ của trang web hoặc ứng dụng.

Để xác minh độ tin cậy của một Certificate Authority (CA), cần kiểm tra các tiêu chí như thành lập và uy tín, kiểm tra chứng chỉ và chuẩn bảo mật.

Để đăng ký SSL với một Certificate Authority, cần chọn một CA đáng tin cậy, đăng ký tên miền, tạo yêu cầu chứng chỉ, thực hiện xác thực và cấp phát chứng chỉ.

Quá trình đăng ký SSL với một Certificate Authority có thể phức tạp và đòi hỏi kiến thức về bảo mật mạng, nếu không tự tin bạn nên xem xét thuê một nhà cung cấp dịch vụ bảo mật mạng để họ giúp bạn đăng ký SSL.

Các tìm kiếm liên quan đến chủ đề “Certificate Authority”

Bài liên quan

• SSL là gì? Hướng dẫn cài đặt & kiểm tra SSL chi tiết
• OpenSSL là gì? Hướng dẫn cách cài đặt OpenSSL trên Windows 10
• SSL cài đặt nhanh chóng và miễn phí chỉ 1 click
• Tại sao phải sử dụng SSL?
• SSL cài đặt nhanh chóng và miễn phí chỉ 1 click
• Hướng dẫn cài đặt ssl trên cpanel
• Hướng dẫn cài đặt SSL Let's Encrypt miễn phí trên Kusanagi
• Hướng dẫn cài đặt SSL miễn phí với Let's Encrypt trên dịch vụ Cloud tại Z.com
• Hướng dẫn cài đặt tính năng SSL Manager
• Hướng dẫn từ A-Z cách cài đặt Let’s Encrypt Wildcard SSL miễn phí