Bosh sahifa Wiki Certificate Authority

Certificate Authority

Certificate Authority — public keyni domen, tashkilot, shaxs yoki qurilma identitysi bilan bog‘laydigan raqamli sertifikatlarni chiqaruvchi ishonchli tashkilot yoki tizim. U qisqacha CA deb ataladi. CA sertifikat mazmunini o‘z private keyi bilan imzolaydi; client esa CA public keyiga bo‘lgan ishonch asosida sertifikat zanjirini tekshiradi. CA ma’lumotni shifrlab bermaydi, balki key–identity bog‘lanishini tasdiqlaydi.

Root va intermediate CA

Root CA self-signed certificate orqali trust anchor hisoblanadi. Uning public certificate’i operatsion tizim va brauzer trust store’iga oldindan kiritiladi. Root private key compromise’i shu root ostidagi barcha sertifikatlarga ta’sir qilishi mumkin, shu sababli u ko‘pincha offline HSMda, jismoniy nazorat va ko‘p tomonli ceremony bilan saqlanadi.

Intermediate CA root yoki boshqa intermediate tomonidan imzolanadi va end-entity sertifikatlarni chiqaradi. Hierarchy policy, region, mahsulot yoki sertifikat turini ajratadi. Intermediate buzilsa, root uni bekor qilib yangisini chiqarishi mumkin. Server TLS handshake’da end-entity bilan intermediate chainni yuboradi, rootni yuborish odatda shart emas.

Tasdiqlash jarayoni

Domain Validation sertifikatida ariza beruvchi domen nazoratini HTTP, DNS yoki TLS challenge orqali isbotlaydi. Organization Validation qo‘shimcha ravishda tashkilot haqidagi ma’lumotlarni CA policy’siga ko‘ra tekshiradi. Extended Validation ham aniqroq yuridik tekshiruv talab qiladi, ammo zamonaviy brauzer UI’sida u har doim alohida ko‘zga tashlanmaydi.

Tekshiruv darajasi trafikning kriptografik kuchini o‘zgartirmaydi; barcha mos sertifikatlar TLS key exchange va server authenticationda ishlashi mumkin. Ular identity claimining qanchalik va qanday usulda tekshirilganini farqlaydi. Sertifikat mavjudligi sayt mazmuni halol yoki zararli emasligini kafolatlamaydi.

Certificate issuance

Ariza beruvchi private keyni yaratadi va public key, requested names hamda signature’dan iborat CSR yuboradi. CA CSR signature orqali ariza beruvchi private keyga ega ekanini tekshiradi. Keyin faqat tasdiqlangan SAN nomlari, validity, key usage va policy extensionlari bilan sertifikat tuzadi.

Serial number issuer doirasida noyob bo‘lishi va yetarli entropyga ega bo‘lishi kerak. CA certificate profile’ni qat’iy qo‘llaydi; ariza beruvchi CSRga CA=true yoki o‘zboshimcha yuqori ruxsat qo‘shib ololmaydi. Chiqarilgan public TLS sertifikatlari Certificate Transparency loglariga yuborilib, domen egasiga noto‘g‘ri issuance’ni kuzatish imkonini beradi.

Revocation va qisqa umr

Private key o‘g‘irlangan, domen nazorati yo‘qolgan yoki sertifikat xato berilgan bo‘lsa, CA serialni revocation holatiga qo‘shadi. CRL ro‘yxat ko‘rinishida, OCSP esa individual so‘rov bilan holat beradi. Client tarmoq xatosida revocation tekshiruvini yumshoq o‘tkazishi mumkin, shu sababli bu mexanizm mutlaq darhol himoya emas.

Qisqa amal muddatli sertifikatlar exposure oynasini kamaytiradi va avtomatik renewalni rag‘batlantiradi. Lekin renewal tizimi ishlamasa xizmat certificate expiry sabab to‘xtaydi. Monitoring real endpointda ko‘rsatilayotgan sertifikat, chain va qolgan kunlarni tekshiradi.

CA xavfsizligi va audit

CA private key HSM ichida ishlatiladi, operator rollari ajratiladi va yuqori xavfli amal quorum talab qiladi. Issuance logi ariza, tasdiq dalili, profil, serial va operator yoki avtomatik policy qarorini saqlaydi. Certificate Practice Statement CA qanday tekshiruv va operatsion nazorat qo‘llashini hujjatlashtiradi.

Public browser trust programlari CA audit va incident reporting talablarini belgilaydi. Jiddiy xato CA rootining trust storedan olib tashlanishiga olib kelishi mumkin. Private enterprise CA esa faqat tashkilot qurilmalarida ishonchli bo‘ladi, lekin ichki root o‘rnatilgan qurilmada keng sertifikat chiqarish kuchiga ega bo‘lgani uchun teng darajada ehtiyotkor boshqariladi.

Bog‘liq tushunchalar

PKI, Root certificate, Intermediate CA, X.509, Certificate Transparency, OCSP, Certificate Signing Request