Поделиться через

Иерархия доверия

  • Статья

Чтобы цифровые сертификаты были эффективными , пользователи сертификатов должны иметь высокий уровень доверия к ним. Бывают случаи, когда пользователь не доверяет издателю сертификата. Это может произойти, если пользователь сертификата никогда не слышал о центре сертификации и поэтому не может принимать сертификат от этого издателя по обычной стоимости. Эта проблема решается в процессе сертификации с помощью иерархии доверия.

Иерархия доверия начинается по крайней мере с одного центра сертификации, которому доверяют все сущности в цепочке сертификатов. Это может быть внутренний администратор центра сертификации или внешняя компания или организация, специализирующаяся на проверке удостоверений и выдаче сертификатов. Этот центр называется корневым. Затем корневой центр сертифицирует другие центры сертификации, называемые центрами сертификации первого уровня, которые затем могут выдавать сертификаты, а также сертифицировать дополнительные или центры сертификации второго уровня. Эта ситуация показана на следующем рисунке.

иерархия доверия

Удостоверение центра сертификации, выдающего сертификат, является частью сертификата. Этот центр сертификации называется издателем сертификата. Если издатель сертификата является центром сертификации уровня 1 или 2, получатель этого сертификата может определить, сертифицирован ли издатель сертификата как действительный центр сертификации центром сертификации на уровне выше его, и что центр сертификации более высокого уровня сертифицирован как действительный центр сертификации еще более высоким уровнем сертификации, пока не будет установлено, что существует цепочка доверия между самым низким уровнем центр сертификации и корневой центр сертификации.

Например, на приведенном выше рисунке можно убедиться, что ЦС No 4 сертифицирован как центр сертификации ЦС No 1, а ЦС 1 был сертифицирован корневым ЦС как центр сертификации. Таким образом, когда сертификат из центра сертификации более низкого уровня передается вместе с зашифрованным сообщением, вместе с ним передаются сведения обо всех сертификатах в цепочке доверия до корневого каталога.

Представленные иллюстрации и описания являются концептуальными. В реальном мире ситуация с центром сертификации развивается, и ни один корневой центр не был создан или принят. В краткосрочной перспективе будут развиваться острова власти, как показано на следующем рисунке.

островки власти в иерархии доверия

Со временем корневые острова, корень 1 и корень 2 на рисунке, могут стать ЦС уровня 1 для одного корневого ЦС. На этом этапе ситуация снова будет иметь один корневой орган. Остается выяснить, как будет развиваться фактическая картина.