Existují dva typy bezpečnostních certifikátů, které lze nainstalovat do vašeho počítače: root a klient. Klientský certifikát je naprosto bezpečný pro použití a instalaci, slouží pouze k prokázání vaší identity jinému zařízení. Kořenový certifikát má však mnohem více výkonu a měli byste být vždy opatrní, pokud budete požádáni o jeho instalaci.
Kořenový certifikát je certifikát, kterému vaše zařízení důvěřuje při podepisování jiných certifikátů. Tyto sekundární certifikáty mohou mít mnoho různých použití, včetně důvěřování webové stránce nebo důvěryhodnému softwaru. Z tohoto řetězce důvěry pochází bezpečnostní riziko.
K čemu slouží certifikát?
Bezpečnost na internetu je postavena na síti důvěry. Ve vašem počítači je nainstalováno mnoho kořenových certifikátů, které dohromady vytvářejí rozsáhlou infrastrukturu certifikátů umožňující poněkud konkurenční trh. Když se připojíte k webu přes HTTPS, vaše připojení je zašifrováno pomocí šifrovací šifry, ale webový server také odešle vašemu počítači HTTPS certifikát. Váš počítač se na certifikát podívá a zjistí, zda mu lze důvěřovat, tím, že zkontroluje, zda byl vydán kořenovým certifikátem, kterému váš počítač důvěřuje.
Pokud je HTTPS důvěryhodný, váš počítač se úspěšně připojí k webovému serveru. Pokud však certifikát není důvěryhodný, váš počítač zobrazí varování „nedůvěryhodný certifikát“. To je navrženo tak, aby vás ochránilo před podvodem, abyste se připojili k webům, které jste nechtěli. Například pouze vlastník Technipages může získat certifikát podepsaný důvěryhodným kořenovým certifikátem pro web Technipages. I když je možné vytvořit si vlastní certifikát pro web Technipages, nikdo by mu nevěřil, a tak by se každému zobrazila varovná zpráva.
Certifikáty, které se používají k podepisování softwaru, se používají k ověření, že software legitimně pochází od důvěryhodné společnosti, jako je Microsoft. To by vám mělo poskytnout jistotu, že povolíte přístup k softwaru, který potřebuje. Naopak absence tohoto důvěryhodného podepisování by měla být varovným signálem, že software nemusí být legitimní nebo důvěryhodný.
Rizika přidání certifikátu
Aby ověření kořenového certifikátu fungovalo, je vyžadován řetězec důvěry pouze z jednoho z důvěryhodných kořenových certifikátů, aby certifikát HTTPS, softwarový podpis nebo jakýkoli jiný formulář. To je důvod, proč je přidávání kořenového certifikátu riskantní a nemělo by být prováděno na lehkou váhu. Pokud důvěřujete nesprávné osobě a dojde ke zneužití kořenového certifikátu, může být použit k oklamání, abyste důvěřovali webovým stránkám, softwaru a dalším, kterým byste neměli a za normálních okolností nedůvěřovali. To by mohlo hackerům výrazně usnadnit hacknutí vašeho počítače.
Téměř nikdy byste neměli pro žádný účel instalovat kořenový certifikát. Pokud budete požádáni o instalaci, měli byste si najít čas, abyste pochopili, proč je to potřeba a k čemu se bude používat. Pokud si nejste jisti, může být dobrý nápad požádat o druhý názor někoho, komu důvěřujete, že je dobrý s počítači. Dalším místem, kde se můžete zeptat, je bezpečnostní fórum na výměně zásobníků.