встановити особу власника;
зробити доступним первинний ключ власника.
Цифровий сертифікат випускається перевіреної повноважною організацією - джерелом сертифікатів (certificate authority - CA) і видається тільки на обмежений час. Після закінчення терміну дії сертифіката його необхідно замінити. Протокол SSL використовує цифрові сертифікати для обміну ключами, аутентифікації серверів і, при необхідності, аутентифікації клієнтів.
Рис. 7 - Пропозиція на підписку сертифіката
Цифровий сертифікат містить наступні фрагменти інформації про особу власника сертифіката та джерелі сертифікатів:
повне (унікальне) ім'я власника сертифіката;
публічний ключ власника;
дата видачі цифрового сертифіката;
дата закінчення дії сертифіката;
повне (унікальне) ім'я видавця (джерела сертифіката);
цифровий підпис видавця.
Підключення по SSL завжди ініціюється клієнтом викликом URL-адреси, що починається з http:// замість # «justify"> Як тільки ми зайшли на сторінки, нас сервер просив «підписати» сертифікат, погоджуючись, ми вже можемо спокійно заходити на сервер.
Сертифікат приблизно виглядає так:
Рис. 8 - Сертифікат
Переглядаючи і вивчаючи діалог, можна побачити, що дійсно, сервер відправляє саме цей сертифікат, можна подивитися наше закодоване повідомлення в шістнадцятковому вигляді і можна побачити схожість.
Рис. 9 - пересилали сертифікат на клієнта
Більш простий і ясний алгоритм такий:
Уявіть собі, що є дві людини, які спілкуються за допомогою Інтернету і відповідно не бачать один одного. І позбавлені можливості, дізнатися, про те хто ж його абонент. Їх імена - Аліса і Боб. Припустимо Алісі треба, дізнатися дійсно вона розмовляє з Бобом чи ні. У цьому випадку діалог може виглядати наступним чином: Аліса відправляє Бобу випадкове повідомлення. Боб шифрує його з допомогою свого приватного ключа і відправляє його Алісі. Аліса дешифрує це повідомлення (з допомогою публічного ключа Боба). І порівнявши це повідомлення з посланим, може переконатися в тому, що його дійсно послав Боб. Але насправді з боку Боба не надто вдала ідея шифрувати повідомлення від Аліси з допомогою свого приватного ключа. І повертати його. Це аналогічно підпису документа, про яку Боб мало що знає. З такої позиції Боб має сам придумати повідомлення. І послати його Алісі у двох примірниках. У першому повідомлення передається відкритим текстом, а друге повідомлення зашифровано за допомогою приватного ключа Боба. Таке повідомлення називається message digest. А спосіб шифрування повідомлення за допомогою свого приватного ключа - цифровим підписом (digital signature).
Тепер закономірно постає питання про те, яким чином поширювати свої публічні ключі. Для цього (і не тільки) була придумана спеціальна форма - сертифікат (certificate). Сертифікат складається з наступних частин: Ім'я людини / організації випускового сертифікат. Для кого був випущений даний сертифікат (суб'єкт сертифіката). Публічний ключ суб'єкта. Деякі часові параметри (термін дії сертифіката тощо). ...
