Инфраструктура открытого ключа

Система, которая может выдавать, распространять и проверять цифровые сертификаты

Схема инфраструктуры открытого ключа

Инфраструктура открытых ключей ( PKI ) представляет собой набор ролей, политик, оборудования, программного обеспечения и процедур, необходимых для создания, управления, распространения, использования, хранения и отзыва цифровых сертификатов , а также управления шифрованием с открытым ключом .

Целью PKI является обеспечение безопасной электронной передачи информации для ряда сетевых видов деятельности, таких как электронная коммерция, интернет-банкинг и конфиденциальная электронная почта. Она необходима для видов деятельности, где простые пароли являются неадекватным методом аутентификации и требуются более строгие доказательства для подтверждения личности сторон, участвующих в коммуникации, и для проверки передаваемой информации.

В криптографии PKI — это соглашение, которое связывает открытые ключи с соответствующими идентификаторами субъектов (например, людей и организаций). ^{[1] [2]} Связывание устанавливается посредством процесса регистрации и выдачи сертификатов в центре сертификации (CA). В зависимости от уровня надежности связывания это может осуществляться автоматизированным процессом или под контролем человека. При выполнении по сети это требует использования защищенного протокола регистрации сертификатов или управления сертификатами, такого как CMP .

Роль PKI, которая может быть делегирована CA для обеспечения действительной и правильной регистрации, называется регистрационным органом (RA). RA отвечает за прием запросов на цифровые сертификаты и аутентификацию субъекта, делающего запрос. ^[3] RFC 3647 Целевой группы по инжинирингу Интернета определяет RA как «субъект, который отвечает за одну или несколько из следующих функций: идентификация и аутентификация заявителей на сертификаты, одобрение или отклонение заявок на сертификаты, инициирование отзыва или приостановки сертификатов при определенных обстоятельствах, обработка запросов подписчиков на отзыв или приостановку их сертификатов и одобрение или отклонение запросов подписчиков на обновление или повторную аутентификацию их сертификатов. Однако RA не подписывают и не выдают сертификаты (т. е. RA делегируются определенные задачи от имени CA)». ^[4] Хотя Microsoft могла называть подчиненный CA RA, ^[5] это неверно в соответствии со стандартами X.509 PKI. RA не имеют полномочий подписи CA и управляют только проверкой и предоставлением сертификатов. Таким образом, в случае Microsoft PKI функциональность RA предоставляется либо веб-сайтом Microsoft Certificate Services, либо через Active Directory Certificate Services, которая обеспечивает Microsoft Enterprise CA и политику сертификатов через шаблоны сертификатов и управляет регистрацией сертификатов (ручной или автоматической регистрацией). В случае Microsoft Standalone CA функция RA не существует, поскольку все процедуры, контролирующие CA, основаны на процедуре администрирования и доступа, связанной с системой, в которой размещен CA, и самим CA, а не с Active Directory. Большинство коммерческих решений PKI от сторонних производителей предлагают автономный компонент RA.

Сущность должна быть уникально идентифицируемой в пределах каждого домена CA на основе информации об этой сущности. Сторонний орган проверки (VA) может предоставить эту информацию о сущности от имени CA.

Стандарт X.509 определяет наиболее часто используемый формат сертификатов открытых ключей . ^[6]

Возможности

PKI предоставляет «услуги доверия» — простыми словами, доверяя действиям или результатам сущностей, будь то люди или компьютеры. Цели услуг доверия уважают одну или несколько из следующих возможностей: Конфиденциальность, Целостность и Подлинность (CIA).

Конфиденциальность: гарантия того, что ни один субъект не сможет злонамеренно или непреднамеренно просмотреть полезную нагрузку в открытом тексте. Данные шифруются, чтобы сделать их секретными, так что даже если они были прочитаны, они выглядят как бессмыслица. Возможно, наиболее распространенное использование PKI в целях конфиденциальности — это контекст безопасности транспортного уровня ( TLS ). TLS — это возможность, лежащая в основе безопасности данных при передаче, то есть во время передачи. Классический пример TLS для конфиденциальности — это использование интернет-браузера для входа в службу, размещенную на интернет-веб-сайте, путем ввода пароля.

Целостность: Гарантия того, что если бы сущность хоть немного изменила (подделала) передаваемые данные, это было бы очевидно, поскольку ее целостность была бы скомпрометирована. Часто не так уж важно предотвратить подрыв целостности (защита от подделки), однако крайне важно, чтобы в случае подрыва целостности имелись явные доказательства того, что это произошло (очевидность подделки).

Подлинность: гарантия того, что каждый субъект уверен в том, к чему он подключается, или может доказать свою легитимность при подключении к защищенной службе. Первый вариант называется аутентификацией на стороне сервера — обычно используется при аутентификации на веб-сервере с использованием пароля. Последний вариант называется аутентификацией на стороне клиента — иногда используется при аутентификации с использованием смарт-карты (хостинг цифрового сертификата и закрытого ключа).

Дизайн

Криптография с открытым ключом — это криптографический метод, который позволяет субъектам безопасно взаимодействовать в незащищенной публичной сети и надежно проверять личность субъекта с помощью цифровых подписей . ^[7]

Инфраструктура открытых ключей (PKI) — это система для создания, хранения и распространения цифровых сертификатов , которые используются для проверки принадлежности конкретного открытого ключа определенному субъекту. PKI создает цифровые сертификаты, которые сопоставляют открытые ключи с субъектами, надежно хранит эти сертификаты в центральном репозитории и отзывает их при необходимости. ^{[8] [9] [10]}

PKI состоит из: ^{[9] [11] [12]}

• Центр сертификации (ЦС), который хранит, выдает и подписывает цифровые сертификаты;
• Регистрационный орган (RA), который проверяет личность субъектов, запрашивающих хранение своих цифровых сертификатов в CA;
• Центральный каталог — т. е. безопасное место, в котором хранятся и индексируются ключи;
• Система управления сертификатами, управляющая такими вещами, как доступ к сохраненным сертификатам или доставка выдаваемых сертификатов;
• Политика сертификата, устанавливающая требования PKI относительно ее процедур. Ее цель — позволить посторонним лицам анализировать надежность PKI.

Методы сертификации

Центры сертификации

Основная роль CA заключается в цифровой подписи и публикации открытого ключа, привязанного к данному пользователю. Это делается с использованием собственного закрытого ключа CA, так что доверие к ключу пользователя зависит от доверия к действительности ключа CA. Когда CA является третьей стороной, отдельной от пользователя и системы, то он называется Регистрационным центром (RA), который может быть или не быть отдельным от CA. ^[13] Привязка ключа к пользователю устанавливается в зависимости от уровня гарантии привязки с помощью программного обеспечения или под контролем человека.

Термин доверенная третья сторона (TTP) может также использоваться для центра сертификации (CA). Более того, PKI сам по себе часто используется как синоним для реализации CA. ^[14]

Отзыв сертификата

Сертификат может быть отозван до истечения срока его действия, что означает, что он больше не действителен. Без отзыва злоумышленник сможет использовать такой скомпрометированный или неправильно выпущенный сертификат до истечения срока его действия. ^[15] Таким образом, отзыв является важной частью инфраструктуры открытого ключа. ^[16] Отзыв выполняется выдавшим его центром сертификации , который создает криптографически аутентифицированное заявление об отзыве. ^[17]

Для распространения информации об отзыве среди клиентов своевременность обнаружения отзыва (и, следовательно, окно для злоумышленника, чтобы использовать скомпрометированный сертификат) идет вразрез с использованием ресурсов при запросе статусов отзыва и проблемами конфиденциальности. ^[18] Если информация об отзыве недоступна (либо из-за несчастного случая, либо из-за атаки), клиенты должны решить, следует ли использовать отказоустойчивый режим и рассматривать сертификат как отозванный (и таким образом ухудшать доступность ) или отказоустойчивый режим и рассматривать его как неотозванный (и позволить злоумышленникам обойти отзыв). ^[19]

Из-за стоимости проверок отзыва и влияния на доступность потенциально ненадежных удаленных служб веб-браузеры ограничивают проверки отзыва, которые они будут выполнять, и будут выполнять их с помощью soft-fail. ^[20] Списки отзыва сертификатов слишком затратны для полосы пропускания для повседневного использования, а протокол статуса сертификата в режиме онлайн создает проблемы с задержкой соединения и конфиденциальностью. Были предложены другие схемы, но пока не были успешно развернуты для включения hard-fail проверки. ^[16]

Доля рынка эмитента

В этой модели доверительных отношений центр сертификации является доверенной третьей стороной, которой доверяет как субъект (владелец) сертификата, так и сторона, полагающаяся на сертификат.

Согласно отчету NetCraft за 2015 год ^[21] , отраслевому стандарту для мониторинга активных сертификатов Transport Layer Security (TLS), говорится, что «хотя глобальная экосистема [TLS] является конкурентной, в ней доминирует несколько основных центров сертификации — три центра сертификации ( Symantec , Sectigo , GoDaddy ) отвечают за три четверти всех выпущенных сертификатов [TLS] на общедоступных веб-серверах. Первое место удерживает Symantec (или VeriSign до того, как он был куплен Symantec) с момента начала [нашего] опроса, и в настоящее время на нее приходится чуть менее трети всех сертификатов. Чтобы проиллюстрировать влияние различных методологий, среди миллиона самых загруженных сайтов Symantec выдала 44% действительных, доверенных используемых сертификатов — значительно больше, чем ее общая доля на рынке».

После серьезных проблем с управлением выдачей сертификатов все основные игроки постепенно перестали доверять сертификатам, выпущенным Symantec, начиная с 2017 года и до 2021 года. ^{[22] [23] [24] [25]}

Временные сертификаты и единый вход

Этот подход включает сервер, который действует как автономный центр сертификации в системе единого входа . Сервер единого входа будет выдавать цифровые сертификаты в клиентскую систему, но никогда не будет их хранить. Пользователи могут запускать программы и т. д. с временным сертификатом. Обычно этот вариант решения можно найти с сертификатами на основе X.509 . ^[26]

С сентября 2020 года срок действия сертификата TLS сокращен до 13 месяцев.

Сеть доверия

Альтернативным подходом к проблеме публичной аутентификации информации открытого ключа является схема web-of-trust, которая использует самоподписанные сертификаты и сторонние подтверждения этих сертификатов. Единичный термин «web of trust» не подразумевает существование единой сети доверия или общей точки доверия, а скорее одной из любого количества потенциально непересекающихся «сетей доверия». Примерами реализаций этого подхода являются PGP (Pretty Good Privacy) и GnuPG (реализация OpenPGP , стандартизированной спецификации PGP). Поскольку PGP и реализации позволяют использовать цифровые подписи электронной почты для самостоятельной публикации информации открытого ключа, реализовать собственную сеть доверия относительно просто.

Одним из преимуществ сети доверия, такой как PGP , является то, что она может взаимодействовать с PKI CA, которому полностью доверяют все стороны в домене (например, внутренний CA в компании), который готов гарантировать сертификаты, как доверенный поручитель. Если «сеть доверия» полностью доверяет, то из-за природы сети доверия доверие одному сертификату предоставляет доверие всем сертификатам в этой сети. PKI ценен ровно настолько, насколько ценны стандарты и практики, которые контролируют выдачу сертификатов, и включение PGP или лично учрежденной сети доверия может значительно снизить надежность внедрения PKI этим предприятием или доменом. ^[27]

Концепция сети доверия была впервые предложена создателем PGP Филом Циммерманном в 1992 году в руководстве к PGP версии 2.0:

Со временем вы накопите ключи от других людей, которых вы, возможно, захотите назначить доверенными поручителями. Все остальные выберут своих собственных доверенных поручителей. И каждый постепенно накопит и распространит вместе со своим ключом коллекцию удостоверяющих подписей от других людей, ожидая, что любой, кто его получит, будет доверять хотя бы одной или двум подписям. Это приведет к появлению децентрализованной отказоустойчивой сети доверия для всех открытых ключей.

Простая инфраструктура открытого ключа

Другой альтернативой, которая не имеет дела с публичной аутентификацией информации об открытом ключе, является простая инфраструктура открытого ключа (SPKI), которая возникла из трех независимых усилий по преодолению сложностей X.509 и сети доверия PGP. SPKI не связывает пользователей с лицами, поскольку ключ — это то, чему доверяют, а не лицо. SPKI не использует никакого понятия доверия, поскольку верификатор также является эмитентом. Это называется «циклом авторизации» в терминологии SPKI, где авторизация является неотъемлемой частью его конструкции. ^[28] Этот тип PKI особенно полезен для создания интеграций PKI, которые не полагаются на третьи стороны для авторизации сертификатов, информации о сертификатах и ​​т. д.; хорошим примером этого является изолированная сеть в офисе.

Децентрализованная PKI

Децентрализованные идентификаторы (DID) устраняют зависимость от централизованных реестров для идентификаторов, а также централизованных центров сертификации для управления ключами, что является стандартом в иерархической PKI. В случаях, когда реестр DID является распределенным реестром , каждая сущность может служить своим собственным корневым центром. Такая архитектура называется децентрализованной PKI (DPKI). ^{[29] [30]}

История

Разработки в области PKI начались в начале 1970-х годов в британском разведывательном агентстве GCHQ , где Джеймс Эллис , Клиффорд Кокс и другие сделали важные открытия, связанные с алгоритмами шифрования и распределением ключей. ^[31] Поскольку разработки в GCHQ строго засекречены, результаты этой работы держались в секрете и не признавались публично до середины 1990-х годов.

Публичное раскрытие как безопасного обмена ключами , так и алгоритмов асимметричного ключа в 1976 году Диффи , Хеллманом , Ривестом , Шамиром и Адлеманом полностью изменило безопасные коммуникации. С дальнейшим развитием высокоскоростных цифровых электронных коммуникаций ( Интернет и его предшественники) стала очевидной потребность в способах, с помощью которых пользователи могли бы безопасно общаться друг с другом, и как дальнейшее следствие этого, в способах, с помощью которых пользователи могли бы быть уверены, с кем они на самом деле взаимодействуют.

Были изобретены и проанализированы различные криптографические протоколы, в рамках которых можно было эффективно использовать новые криптографические примитивы . С изобретением Всемирной паутины и ее быстрым распространением потребность в аутентификации и безопасной связи стала еще более острой. Одних коммерческих причин (например, электронная коммерция , онлайн-доступ к собственным базам данных из веб-браузеров ) было достаточно. Тахер Элгамал и другие в Netscape разработали протокол SSL ( https в веб -URL ); он включал установление ключа, аутентификацию сервера (до v3, только одностороннюю) и т. д. ^[32] Таким образом, была создана структура PKI для веб-пользователей/сайтов, желающих безопасной связи.

Поставщики и предприниматели увидели возможность большого рынка, основали компании (или новые проекты в существующих компаниях) и начали агитировать за юридическое признание и защиту от ответственности. Технологический проект Американской ассоциации юристов опубликовал обширный анализ некоторых предсказуемых правовых аспектов операций PKI (см. Руководство по цифровой подписи ABA ), и вскоре после этого несколько штатов США ( Юта была первой в 1995 году) и другие юрисдикции по всему миру начали принимать законы и правила. Группы потребителей подняли вопросы о конфиденциальности , доступе и ответственности, которые в некоторых юрисдикциях принимались во внимание больше, чем в других. ^[33]

Принятые законы и нормативные акты различались, возникали технические и эксплуатационные проблемы при преобразовании схем PKI в успешную коммерческую эксплуатацию, а прогресс шел гораздо медленнее, чем предполагали первопроходцы.

К первым нескольким годам XXI века базовую криптографическую инженерию было явно нелегко правильно развернуть. Рабочие процедуры (ручные или автоматические) было нелегко правильно спроектировать (и даже если они были так спроектированы, нелегко было выполнить идеально, что требовалось инженерией). Существовавшие стандарты были недостаточными.

Поставщики PKI нашли рынок, но это не совсем тот рынок, который предполагался в середине 1990-х годов, и он рос и медленнее, и несколько иными способами, чем предполагалось. ^[34] PKI не решили некоторые из проблем, которые от них ожидались, и несколько крупных поставщиков вышли из бизнеса или были приобретены другими. PKI добилась наибольшего успеха в правительственных реализациях; крупнейшей реализацией PKI на сегодняшний день является инфраструктура PKI Агентства по оборонным информационным системам (DISA) для программы карт общего доступа .

Использует

PKI того или иного типа и от любого из нескольких поставщиков имеют множество применений, включая предоставление открытых ключей и привязок к идентификаторам пользователей, которые используются для:

• Шифрование и/или аутентификация отправителя сообщений электронной почты (например, с использованием OpenPGP или S/MIME );
• Шифрование и/или аутентификация документов (например, стандарты XML Signature или XML Encryption, если документы закодированы как XML );
• Аутентификация пользователей в приложениях (например, вход с помощью смарт-карты , аутентификация клиента с помощью SSL/TLS ). Существует экспериментальное использование HTTP- аутентификации с цифровой подписью в проектах Enigform и mod_openpgp ;
• Начальная загрузка защищенных протоколов связи, таких как обмен ключами через Интернет (IKE) и SSL/TLS . В обоих случаях начальная настройка защищенного канала (« сопоставление безопасности ») использует асимметричные ключи — т. е. методы открытого ключа, тогда как фактическая связь использует более быстрые симметричные ключи — т. е. методы секретного ключа ;
• Мобильные подписи — это электронные подписи, которые создаются с помощью мобильного устройства и полагаются на службы подписи или сертификации в телекоммуникационной среде, независимой от местоположения; ^[35]
• Интернет вещей требует безопасной связи между взаимно доверенными устройствами. Инфраструктура открытого ключа позволяет устройствам получать и обновлять сертификаты X.509, которые используются для установления доверия между устройствами и шифрования связи с использованием TLS .

Реализации с открытым исходным кодом

• OpenSSL — это простейшая форма CA и инструмент для PKI. Это набор инструментов, разработанный на языке C, который включен во все основные дистрибутивы Linux и может использоваться как для создания собственного (простого) CA, так и для приложений с поддержкой PKI. ( Лицензия Apache )
• EJBCA — это полнофункциональная реализация CA корпоративного уровня, разработанная на Java . Ее можно использовать для настройки CA как для внутреннего использования, так и в качестве сервиса. ( Лицензия LGPL )
• XiPKI, ^[36] CA и OCSP-ответчик. С поддержкой SHA-3 , реализован на Java . ( Лицензия Apache )
• XCA ^[37] — это графический интерфейс и база данных. XCA использует OpenSSL для базовых операций PKI.
• DogTag — это полнофункциональный центр сертификации, разработанный и поддерживаемый в рамках проекта Fedora .
• CFSSL ^{[38] [39]} набор инструментов с открытым исходным кодом, разработанный CloudFlare для подписи, проверки и объединения сертификатов TLS. ( Лицензия BSD 2-clause )
• Vault ^{[40] —} инструмент для безопасного управления секретами (включая сертификаты TLS), разработанный HashiCorp . ( Лицензия Mozilla Public License 2.0 )
• Boulder — CA на базе ACME , написанный на Go . Boulder — это программное обеспечение, на котором работает Let's Encrypt .

Критика

Некоторые утверждают, что покупка сертификатов для защиты веб-сайтов с помощью SSL/TLS и защиты программного обеспечения с помощью подписи кода является дорогостоящим предприятием для малого бизнеса. ^[41] Однако появление бесплатных альтернатив, таких как Let's Encrypt , изменило это. HTTP/2 , последняя версия протокола HTTP, теоретически допускает незащищенные соединения; на практике основные компании-разработчики браузеров дали понять, что будут поддерживать этот протокол только через защищенное PKI соединение TLS . ^[42] Реализация HTTP/2 в веб-браузерах, включая Chrome , Firefox , Opera и Edge , поддерживает HTTP/2 только через TLS с помощью расширения ALPN протокола TLS. Это означало бы, что для получения преимуществ скорости HTTP/2 владельцы веб-сайтов были бы вынуждены приобретать сертификаты SSL/TLS, контролируемые корпорациями.

В настоящее время большинство веб-браузеров поставляются с предустановленными промежуточными сертификатами, выпущенными и подписанными центром сертификации, открытыми ключами, сертифицированными так называемыми корневыми сертификатами . Это означает, что браузеры должны иметь большое количество различных поставщиков сертификатов, что увеличивает риск компрометации ключа. ^[43]

Когда известно, что ключ скомпрометирован, это можно исправить, отозвав сертификат, но такой взлом нелегко обнаружить, и он может стать огромным нарушением безопасности. Браузеры должны выпустить исправление безопасности, чтобы отозвать промежуточные сертификаты, выпущенные скомпрометированным корневым центром сертификации. ^[44]

Смотрите также

• Криптографическая гибкость (крипто-гибкость)
• Протокол управления сертификатами (CMP)
• Управление сертификатами через CMS (CMC)
• Простой протокол регистрации сертификатов (SCEP)
• Регистрация через защищенный транспорт (EST)
• Среда автоматического управления сертификатами (ACME)
• Инфраструктура открытых ключей ресурсов (RPKI)

Ссылки

1. Чиен, Хун-Ю (2021-08-19). «Динамические сертификаты открытых ключей с прямой секретностью». Электроника . 10 (16): 2009. doi : 10.3390/electronics10162009 . ISSN  2079-9292.
2. "Public Key Infrastructure (PKI)". Агентство Европейского Союза по кибербезопасности (ENISA) :: Реагирование на инциденты :: Глоссарий . Европейский Союз . Получено 14 мая 2024 г. .
3. Фрулингер, Джош (29 мая 2020 г.). «Что такое PKI? И как она защищает почти все в Интернете». CSOOnline . Получено 26 августа 2021 г. .
4. "Политика сертификатов инфраструктуры открытых ключей Internet X.509 и рамки практики сертификации". IETF . Получено 26 августа 2020 г.
5. "Инфраструктура открытых ключей". MSDN . Получено 26 марта 2015 г.
6. "Использование аутентификации на основе клиентского сертификата с NGINX в Ubuntu - SSLTrust". SSLTrust . Получено 13 июня 2019 г. .
7. Адамс, Карлайл; Ллойд, Стив (2003). Понимание PKI: концепции, стандарты и соображения по развертыванию. Addison-Wesley Professional. стр. 11–15. ISBN 978-0-672-32391-1.
8. Трчек, Денис (2006). Управление безопасностью и конфиденциальностью информационных систем. Birkhauser. стр. 69. ISBN 978-3-540-28103-0.
9. Vacca, Jhn R. (2004). Инфраструктура открытого ключа: создание доверенных приложений и веб-сервисов. CRC Press. стр. 8. ISBN 978-0-8493-0822-2.
10. Виега, Джон и др. (2002). Сетевая безопасность с OpenSSL . O'Reilly Media. стр. 61–62. ISBN 978-0-596-00270-1.
11. МакКинли, Бартон (17 января 2001 г.). «Азбука PKI: расшифровка сложной задачи настройки инфраструктуры открытого ключа». Network World . Архивировано из оригинала 29 мая 2012 г.
12. Аль-Джанаби, Суфьян Т. Фарадж; и др. (2012). «Объединение опосредованной и основанной на идентификации криптографии для защиты электронной почты». В Арива, Эзенду; и др. (ред.). Цифровое предприятие и информационные системы: Международная конференция, Deis, [...] Труды . Springer. стр. 2–3. ISBN 9783642226021.
13. «Паспорт сертификации Майка Мейера CompTIA Security+», Т. Дж. Самюэль, стр. 137.
14. Генри, Уильям (4 марта 2016 г.). «Trusted Third Party Service». Архивировано из оригинала 4 марта 2016 г. Получено 4 марта 2016 г.
15. Смит, Дикинсон и Симонс 2020, стр. 1.
16. Шеффер, Сен-Андре и Фоссати, 2022, 7.5. Отзыв сертификата.
17. Чунг и др. 2018, стр. 3.
18. Смит, Дикинсон и Симонс 2020, стр. 10.
19. Лариш и др. 2017, с. 542.
20. Смит, Дикинсон и Симонс 2020, стр. 1-2.
21. "Подсчет SSL-сертификатов". 13 мая 2015 г.
22. "CA:Symantec Issues". Mozilla Wiki . Получено 10 января 2020 г.
23. "План Chrome по недоверию сертификатам Symantec". Блог безопасности Google . Получено 10 января 2020 г.
24. "JDK-8215012: Примечание к выпуску: Не доверяйте сертификатам сервера TLS, закрепленным корневыми центрами сертификации Symantec". База данных ошибок Java . Получено 10 января 2020 г.
25. "Информация о недоверии к центрам сертификации Symantec". Поддержка Apple . 2023-09-05 . Получено 2024-01-16 .
26. Технология единого входа для предприятий SAP: что говорит SAP? "Технология единого входа для предприятий SAP: что говорит SAP? | Май 2010 г. | SECUDE AG". Архивировано из оригинала 2011-07-16 . Получено 2010-05-25 .
27. Эд Герк, Обзор систем сертификации: x.509, CA, PGP и SKIP, в The Black Hat Briefings '99, http://www.securitytechnet.com/resource/rsc-center/presentation/black/vegas99/certover.pdf и http://mcwg.org/mcg-mirror/cert.htm Архивировано 05.09.2008 на Wayback Machine
28. Гонсалес, Элой. «Простая инфраструктура открытых ключей» (PDF) .
29. "Децентрализованные идентификаторы (DID)". World Wide Web Consortium . 9 декабря 2019 г. Архивировано из оригинала 14 мая 2020 г. Получено 16 июня 2020 г.
30. "Децентрализованная инфраструктура открытых ключей". weboftrust.info . 23 декабря 2015 г. . Получено 23 июня 2020 г. .
31. Эллис, Джеймс Х. (январь 1970 г.). «Возможность безопасного несекретного цифрового шифрования» (PDF) . Архивировано из оригинала (PDF) 2014-10-30.
32. Продрому, Агатоклис (31.03.2019). "Безопасность TLS 2: Краткая история SSL/TLS". Acunetix . Получено 25.05.2024 .
33. "Руководство по оценке PKI" (PDF) . Комитет по информационной безопасности . 0.3 : 43. 2001.
34. Стивен Уилсон, декабрь 2005 г., «Важность PKI сегодня». Архивировано 22 ноября 2010 г. на Wayback Machine , China Communications , получено 13 декабря 2010 г.
35. Марк Гассон, Мартин Мейнтс, Кевин Уорвик (2005), D3.2: Исследование PKI и биометрии, FIDIS delivery (3)2, июль 2005 г.
36. "xipki/xipki · GitHub". Github.com . Получено 2016-10-17 .
37. Хонштедт, Кристиан. "X - Сертификат и управление ключами". hohnstaedt.de . Получено 29.12.2023 .
38. Салливан, Ник (10 июля 2014 г.). «Представляем CFSSL — набор инструментов PKI от Cloudflare». Блог CloudFlare . CloudFlare . Получено 18 апреля 2018 г. .
39. "cloudflare/cfssl · GitHub". Github.com . Получено 18 апреля 2018 г. .
40. "hashicorp/vault · GitHub". Github.com . Получено 18 апреля 2018 г. .
41. «Стоит ли нам отказаться от цифровых сертификатов или научиться использовать их эффективно?». Forbes .
42. "HTTP/2 Frequently Asked Questions". HTTP/2 wiki – через Github.
43. "Корневой сертификат против промежуточных сертификатов". О SSL . Получено 2022-05-02 .
44. «Мошеннические цифровые сертификаты могут допускать подмену». Microsoft Security Advisory . Microsoft. 23 марта 2011 г. Получено 24.03.2011 .

Цитируемые работы

• Chung, Taejoong; Lok, Jay; Chandrasekaran, Balakrishnan; Choffnes, David; Levin, Dave; Maggs, Bruce M.; Mislove, Alan; Rula, John; Sullivan, Nick; Wilson, Christo (2018). «Готов ли Интернет к обязательному скреплению OCSP?» (PDF) . Труды конференции по измерению Интернета 2018 г. стр. 105–118. doi :10.1145/3278532.3278543. ISBN 9781450356190. S2CID  53223350.
• Лариш, Джеймс; Чоффнес, Дэвид; Левин, Дэйв; Мэггс, Брюс М.; Мислов, Алан; Уилсон, Кристо (2017). «CRLite: масштабируемая система для передачи всех отзыва TLS всем браузерам». Симпозиум IEEE по безопасности и конфиденциальности (SP) 2017 г. стр. 539–556. doi : 10.1109/sp.2017.17 . ISBN 978-1-5090-5533-3. S2CID  3926509.
• Шеффер, Ярон; Сент-Андре, Пьер; Фоссати, Томас (ноябрь 2022 г.). Рекомендации по безопасному использованию Transport Layer Security (TLS) и Datagram Transport Layer Security (DTLS). doi : 10.17487/RFC9325 . RFC 9325.
• Смит, Тревор; Дикинсон, Люк; Симонс, Кент (2020). «Давайте отменим: масштабируемый глобальный отзыв сертификатов». Труды симпозиума по безопасности сетей и распределенных систем 2020 г. . doi : 10.14722/ndss.2020.24084 . ISBN 978-1-891562-61-7. S2CID  211268930.

Внешние ссылки

• Тенденции доли рынка для центров сертификации SSL (W3Techs)