На вашому комп’ютері можна встановити два типи сертифікатів безпеки: root і клієнт. Сертифікат клієнта абсолютно безпечний у використанні та встановленні, він просто використовується для підтвердження вашої особистості на іншому пристрої. Однак кореневий сертифікат має набагато більше можливостей, і ви завжди повинні бути обережними, якщо вас попросять його встановити.
Кореневий сертифікат — це сертифікат, якому ваш пристрій довіряє підписувати інші сертифікати. Ці вторинні сертифікати можуть мати багато різних застосувань, включаючи довіру до веб-сайту або довіре програмне забезпечення. Цей ланцюг довіри є джерелом ризику для безпеки.
Для чого використовується сертифікат?
Безпека в Інтернеті побудована на мережі довіри. На вашому комп’ютері встановлено багато кореневих сертифікатів, у поєднанні вони створюють велику інфраструктуру сертифікатів, що дозволяє створити певну конкурентоспроможність ринку. Коли ви підключаєтеся до веб-сайту через HTTPS, ваше з’єднання шифрується за допомогою шифру, однак веб-сервер також надсилає вашому комп’ютеру сертифікат HTTPS. Комп’ютер перевіряє сертифікат і визначає, чи можна йому довіряти, перевіряючи, чи був він виданий кореневим сертифікатом, якому довіряє ваш комп’ютер.
Якщо HTTPS є надійним, ваш комп’ютер успішно під’єднається до веб-сервера. Однак якщо сертифікат не є надійним, на вашому комп’ютері відобразиться попередження «ненадійний сертифікат». Це створено, щоб запобігти обману підключення до сайтів, які ви не збиралися. Наприклад, лише власник Technipages може отримати сертифікат, підписаний надійним кореневим сертифікатом для веб-сайту Technipages. Хоча можна створити власний сертифікат для веб-сайту Technipages, йому ніхто не довірить, і тому всі побачать попередження.
Сертифікати, які використовуються для підписання програмного забезпечення, використовуються для підтвердження того, що програмне забезпечення законно надходить від надійної компанії, наприклад Microsoft. Це має надати вам впевненості, щоб дозволити доступ до необхідного програмного забезпечення. І навпаки, відсутність цього довіреного підпису має бути ознакою попередження про те, що програмне забезпечення може бути нелегітимним або надійним.
Ризики додавання сертифіката
Для роботи сертифіката HTTPS, підпису програмного забезпечення або будь-якої іншої форми для перевірки кореневого сертифіката потрібен ланцюг довіри лише з одного з довірених кореневих сертифікатів. Ось чому додавання кореневого сертифіката є ризикованим і не повинно бути легким. Якщо ви довіряєте не тій людині, і кореневий сертифікат використовується неправомірно, його можна використати, щоб обманом змусити вас довіряти веб-сайтам, програмному забезпеченню тощо, чого ви не повинні і зазвичай не робите. Це може значно полегшити хакерам зламати ваш комп’ютер.
Вам майже ніколи не доведеться встановлювати кореневий сертифікат для будь-яких цілей. Якщо вас попросять встановити його, ви повинні приділити час, щоб зрозуміти, навіщо він потрібен і для чого він буде використовуватися. Якщо ви не впевнені, може бути гарною ідеєю запитати другу думку в когось, кому ви довіряєте, який добре володіє комп’ютерами. Ще одне місце, куди можна звернутися, щоб запитати, це форум безпеки на обміні стеками.