На ваш компьютер можно установить сертификаты безопасности двух типов: корневые и клиентские. Сертификат клиента совершенно безопасен в использовании и установке, он просто используется для подтверждения вашей личности на другом устройстве. Однако корневой сертификат обладает гораздо большей мощностью, и вы всегда должны быть осторожны, если вас попросят установить его.
Корневой сертификат - это сертификат, которому ваше устройство доверяет для подписи других сертификатов. Эти вторичные сертификаты могут иметь множество различных применений, включая доверие к веб-сайту или доверительное программное обеспечение. Эта цепочка доверия является источником риска для безопасности.
Для чего нужен сертификат?
Безопасность в Интернете строится на сети доверия. На вашем компьютере установлено множество корневых сертификатов, в совокупности они создают большую инфраструктуру сертификатов, позволяющую создать несколько конкурентный рынок. Когда вы подключаетесь к веб-сайту через HTTPS, ваше соединение шифруется с помощью шифра шифрования, однако веб-сервер также отправляет вашему компьютеру сертификат HTTPS. Ваш компьютер проверяет сертификат и определяет, можно ли ему доверять, проверяя, был ли он выдан корневым сертификатом, которому доверяет ваш компьютер.
Если HTTPS является доверенным, то ваш компьютер успешно подключается к веб-серверу. Однако, если сертификат не является доверенным, на вашем компьютере будет отображаться предупреждение «ненадежный сертификат». Это сделано для того, чтобы вас не обманом заставили подключиться к сайтам, о которых вы не хотели. Например, только владелец Technipages может получить сертификат, подписанный доверенным корневым сертификатом для веб-сайта Technipages. Хотя можно создать свой собственный сертификат для веб-сайта Technipages, никто ему не поверит, поэтому все увидят предупреждающее сообщение.
Сертификаты, которые используются для подписи программного обеспечения, используются для проверки того, что программное обеспечение действительно поступает от доверенной компании, например Microsoft. Это должно вселить в вас уверенность и позволить необходимому программному обеспечению получить доступ. И наоборот, отсутствие этой доверенной подписи должно быть предупреждающим знаком о том, что программное обеспечение может быть незаконным или заслуживающим доверия.
Риски добавления сертификата
Для работы сертификата HTTPS, подписи программного обеспечения или любой другой формы для проверки корневого сертификата требуется цепочка доверия только от одного из любых доверенных корневых сертификатов. Вот почему добавление корневого сертификата рискованно и не следует делать легкомысленно. Если вы доверяете не тому человеку и корневой сертификат используется не по назначению, его можно использовать, чтобы обманом заставить вас доверять веб-сайтам, программному обеспечению и многому другому, чего вы не должны и обычно не должны. Это может значительно упростить хакерам взлом вашего компьютера.
Вам почти никогда не потребуется устанавливать корневой сертификат для каких-либо целей. Если вас попросят установить его, вы должны найти время, чтобы понять, зачем он нужен и для чего он будет использоваться. Если вы не уверены, может быть хорошей идеей узнать мнение другого человека, которому вы доверяете и который разбирается в компьютерах. Еще одно место, где вы можете спросить, - это форум по безопасности на стековой бирже.