Digamos que JayP queira se conectar ao youtube.com pela Internet pública. Antes de qualquer comunicação ocorrer, algumas preocupações surgirão:  Como ele pode verificar se está realmente se comunicando com o youtube? (Autenticação)  Como JayP pode saber que ninguém interceptou sua mensagem? (Confidencialidade)  Além disso, como ele pode ter certeza de que ninguém alterou a mensagem? (Integridade)  Bem, vamos abordar cada problema separadamente. Em primeiro lugar, JayP deve verificar a identidade do   . Para isso, ele precisa da chave pública do Youtube. A chave pública representa a identidade do youtube. Youtube  O problema  O problema é que os invasores criaram maneiras de interceptar uma solicitação de um computador para outro na Internet e lançar um   . Com esse tipo de ataque, nosso atacante Chady injetaria sua própria chave pública e faria JayP pensar que ele está se comunicando com o Youtube, quando na verdade ele está se comunicando com Chady.  ataque man-in-the-middle  Chady entra sorrateiramente e envia SUA chave pública.  Agora você pode pensar, assustador, não é? Imagine o que poderia ser possível com esse tipo de ataque, desde o roubo de informações pessoais, como credenciais de login ou detalhes de cartão de crédito, até a distribuição de malware ou outros objetivos maliciosos. Como então JayP pode ter certeza de que a chave pública que ele recebeu vem realmente do Youtube? É aí que entram os certificados digitais. (TADAAA)   Eles garantem que a chave pública realmente vem do Youtube, e não de um Chady malicioso. Na verdade, os certificados digitais podem ser usados não apenas para HTTPS, mas também para correio, IOT e VPN…  Informações Dentro do Certificado TLS  Um certificado digital conterá bastante informação, vamos explorar as mais importantes:     é o terceiro que assinou este certificado, falaremos sobre isso daqui a pouco. Algumas informações básicas incluirão o nome comum, a organização e o país. O emissor  Obviamente, um certificado digital também incluirá sua   , com dois campos críticos, nem antes e nem depois Validade  O   é o dono do certificado e seria o Youtube no nosso caso. O assunto conterá informações como nome comum, endereço e, o mais importante, a chave pública. Sujeito  Por fim, um certificado digital inclui sua   . Esta é a assinatura assinada pelo emissor que comprova que este certificado é autêntico.  assinatura  Quem assina o certificado digital?  Os certificados digitais são assinados por entidades denominadas autoridades certificadoras (por exemplo, DigiCert, Comodo, Symantec, Google Trust Services).  Mas espere, o que são autoridades certificadoras?  Bem, em poucas palavras, as Autoridades Certificadoras são organizações terceirizadas confiáveis responsáveis pela emissão de certificados digitais.   As autoridades certificadoras têm suas próprias chaves públicas e privadas. A partir disso, vamos explicar como são feitas as assinaturas.  As informações mencionadas anteriormente contidas em um certificado digital serão hash usando um   , por exemplo. Depois que o hash é gerado, a autoridade de certificação criptografa o hash usando sua chave privada usando criptografia de chave assimétrica RSA. Esse hash criptografado é a assinatura de um certificado e só pode ser descriptografado usando a chave pública da autoridade de certificação. Qualquer pessoa com a chave pública da autoridade de certificação que assinou este certificado pode descriptografar e verificar se o certificado é autêntico e não foi adulterado.  algoritmo SHA-256  Quando o navegador receber o certificado, ele fará o hash de todas as informações do seu lado usando o mesmo algoritmo de hash, neste exemplo, SHA-256. Em seguida, ele descriptografa a assinatura usando a chave pública da autoridade de certificação para receber o hash da autoridade de certificação. Se ambos os hashes corresponderem, o navegador poderá confirmar que esse certificado é realmente proveniente da autoridade de certificação reivindicada.   Hierarquias para autoridades de certificação  Existem hierarquias para autoridades de certificação - a autoridade de certificação raiz e a autoridade de certificação intermediária.   Na verdade, essas CAs raiz não emitem diretamente nenhum certificado digital para servidores. Apenas emite certificados digitais para CAs intermediárias que atuam em seu nome. As CAs intermediárias podem emitir certificados digitais para outra CA intermediária ou para um servidor diretamente.   Portanto, existe uma cadeia de confiança, da CA raiz ao servidor.  Os sistemas operacionais vêm com um armazenamento confiável, que é uma lista de autoridades de certificação raiz confiáveis. Esta lista é mantida pelas empresas que fabricam sistemas operacionais, como Apple e Microsoft. Todos eles exigem que uma autoridade de certificação raiz passe por uma ou mais auditorias que comprovem sua confiabilidade e validade.  Como tudo isso se encaixa na imagem?  Vamos visualizar todo o processo desde o início.  Em primeiro lugar, vamos supor que o youtube.com seja uma startup totalmente nova. Entendendo a necessidade de estar seguro em uma internet disponível publicamente, o Youtube teria que possuir um certificado digital confiável e apresentá-lo aos seus visitantes.   Passo 1: Youtube vai comprar um certificado digital  Em primeiro lugar, o Youtube procura uma autoridade de certificação intermediária. Lembre-se de que as autoridades de certificação intermediárias são intermediárias entre os servidores e as autoridades de certificação raiz. No caso do Youtube, o Google tem sua própria autoridade de certificação chamada Google Trust Services.   Depois de escolher uma CA intermediária, o Youtube faz uma solicitação de assinatura de certificado. A solicitação de assinatura do certificado conterá informações que serão incluídas no certificado digital do Youtube, como nome comum, organização e, principalmente, a chave pública do Youtube. O Youtube enviará a solicitação de assinatura do certificado para a CA intermediária.   A autoridade de certificação intermediária verificará o CSR contendo informações sobre o proprietário, também conhecido como assunto. Em seguida, ele adiciona campos como informações do emissor, que são informações sobre o certificado intermediário e a validade, e assina todas essas informações conforme explicado anteriormente no processo de assinatura. Após a assinatura, a autoridade de certificação intermediária enviará de volta o certificado digital para o youtube.   O Youtube agora pode anexar seu certificado digital recém-adquirido a seus servidores da web.  Etapa 2: JayP se conecta ao youtube.com para assistir a vídeos de condicionamento físico   Quando ele se conectar ao Youtube, o Youtube enviará seu próprio certificado e certificados de autoridades certificadoras intermediárias. A autoridade de certificação raiz não será enviada porque está disponível no sistema operacional do JayP. O certificado do Youtube incluirá as informações do emissor, que é a autoridade de certificação intermediária. O navegador, portanto, saberá que este certificado é assinado pela autoridade de certificação intermediária do Google Trust Services e terá seu certificado. Qualquer certificado digital conterá informações e uma assinatura, conforme explicado anteriormente. O navegador fará o hash de todas as informações para obter seu valor de hash. Em seguida, ele irá descriptografar a assinatura usando a chave pública do emissor, ou seja, a chave pública da autoridade certificadora intermediária. Novamente, lembre-se de que a assinatura só pode ser descriptografada usando a chave pública do emissor. Depois disso, o navegador comparará os dois valores de hash, se forem iguais, essa parte da cadeia será verificada e o navegador passará a verificar a autoridade de certificação intermediária porque, conforme explicado, as autoridades de certificação intermediárias não são confiáveis diretamente por os sistemas operacionais.   Pronto, agora o navegador irá verificar o certificado da Google Trust Intermediate Certificate Authority. Este certificado intermediário é assinado pela autoridade de certificação raiz do Google Trust Services. Observe que, antes desta etapa, poderíamos ter muitas autoridades certificadoras intermediárias entre o certificado final e o certificado raiz e, para cada parte da cadeia, o mesmo processo de verificação acontecerá.   Em nosso exemplo, vamos nos ater apenas a um. A assinatura do certificado da autoridade certificadora intermediária será verificada com a chave pública da autoridade certificadora raiz, conforme informado anteriormente. Ao atingir a autoridade de certificação raiz, é aí que a cadeia termina. A autoridade de certificação raiz, que é autoassinada, estará disponível no armazenamento confiável do sistema operacional do JayPee.   É isso! O navegador, após essa verificação, exibirá um ícone de cadeado bonito, como o do seu navegador. Agora é garantido que a comunicação é realmente com o Youtube e que é segura (HOORAY)  Três tipos de Certificados de Domínio  Antes de encerrarmos, explicaremos brevemente três tipos principais de certificados TLS.  1) Certificado de Domínio Único   Um único certificado de domínio é projetado para proteger um único nome de domínio totalmente qualificado. Isso significa que o certificado é válido apenas para um domínio específico e não abrange nenhum subdomínio ou domínio adicional. Por exemplo, para o domínio "www.youtube.com", um único certificado de domínio protegeria apenas esse domínio e nenhuma outra variação como "academy.youtube.com" ou "blog.youtube.com"  Casos de uso: certificados de domínio único são ideais quando você tem um único site ou aplicativo da Web que não requer subdomínios adicionais. Eles são a opção mais direta e econômica para proteger um domínio específico.  2) Certificado Curinga   Em seguida, temos um certificado curinga, que é um tipo de certificado TLS emitido para um domínio principal e todos os seus subdomínios usando um único certificado. O asterisco do caractere curinga é usado no campo Nome Comum (CN) ou no campo Nome Alternativo do Assunto (SAN) para indicar que qualquer subdomínio sob o domínio especificado é coberto. Por exemplo, se você tiver um certificado curinga para "   , blog.youtube.com" e assim por diante. .youtube.com", ele protegerá "youtube.com", "academy.youtube.com"    certificados curinga evitam que você precise gerenciar e renovar certificados individuais para cada subdomínio. No entanto, é essencial observar que os certificados curinga cobrem apenas um nível de subdomínios. Por exemplo, um certificado curinga para "*.youtube.com" não cobriria "academia.blog.youtube.com". Casos de uso:  3) Certificado Multi-Domínio (SAN)   Um certificado de vários domínios, também conhecido como certificado de nome alternativo da entidade, permite que você proteja vários domínios não relacionados em um único certificado. Cada domínio ou subdomínio a ser protegido é listado na extensão Subject Alternative Name (SAN) do certificado.  Por exemplo, o Google e outras grandes empresas usariam esses certificados de vários domínios. Um dos principais benefícios seria o gerenciamento simplificado de certificados: o Google opera muitos serviços e aplicativos da web, cada um com seu próprio domínio ou subdomínio. O uso de certificados de vários domínios permite consolidar o gerenciamento de certificados para vários domínios ou subdomínios em um único certificado. Isso agiliza o processo de emissão, renovação e monitoramento de certificados.  E é isso. Reserve algum tempo para assistir à aula animada.   https://youtu.be/OU-e_Qz-v4U?embedable=true  Em meu próximo artigo, discutirei a criptografia com TLS.  Também publicado  aqui.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

Check out my content !

Read My Stories

Este áudio é produzido no idioma original da história!

Muito longo; Para ler

Boost your HackerNoon story @ $159.99! 🚀

Um guia simplificado para certificados TLS 📝

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Guia do arquiteto para construir arquitetura de referência para um Datalake de IA/ML

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Aumente sua produtividade com estas 18 ferramentas para desenvolvedores 🚀🔥

Criando produtos criptográficos centrados no usuário: a importância do feedback do cliente

Guia do arquiteto para construir arquitetura de referência para um Datalake de IA/ML

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Aumente sua produtividade com estas 18 ferramentas para desenvolvedores 🚀🔥

Criando produtos criptográficos centrados no usuário: a importância do feedback do cliente

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps