Digitalna potrdila: kaj so, vrste (X.509) in kako delujejo

Digitalna potrdila (X.509): kaj so, vrste in kako delujejo — preverjanje identitete, šifriranje in digitalni podpisi za varno spletno poslovanje.

Digitalna potrdila so elektronske "kreditne kartice", ki potrjujejo vaše poverilnice pri poslovanju ali drugih transakcijah na spletu. Izdaja jih certifikacijski organ (CA). Vsebuje vaše ime, serijsko številko, datum poteka veljavnosti, kopijo javnega ključa imetnika potrdila (ki se uporablja za šifriranje sporočil in digitalne podpise) in digitalni podpis organa, ki je izdal potrdilo, da lahko prejemnik preveri, ali je potrdilo resnično. Nekatera digitalna potrdila so skladna s standardom X.509. Digitalna potrdila se lahko hranijo v registrih, tako da lahko uporabniki, ki preverjajo pristnost, poiščejo javne ključe drugih uporabnikov.

Kaj je X.509 in kaj vsebuje potrdilo

Standard X.509 določa format digitalnih potrdil, ki jih uporabljajo protokoli, kot je TLS/SSL. Tipično potrdilo X.509 vključuje:

• Subject (imetnik): ime osebe ali organizacije, za katero je potrdilo izdano.
• Issuer (izdajatelj): certifikacijski organ (CA), ki je potrdilo izdal.
• Javni ključ: kopija javnega ključa imetnika (uporablja se za preverjanje podpisov ali za šifriranje ključev).
• Veljavnost: datum začetka in konec veljavnosti potrdila.
• Serijska številka: enolična številka potrdila, ki jo izda CA.
• Algoritem podpisa: kriptografski algoritem, s katerim je CA podpisal potrdilo (npr. RSA+SHA‑256, ECDSA).
• Razširitve (extensions): dodatne informacije, kot so Subject Alternative Name (SAN) z dodatnimi domenami, Key Usage (namen ključa), Extended Key Usage (npr. TLS strežnik, podpisovanje kode) ipd.

Kako delujejo digitalna potrdila

• CA preveri identiteto prosilca po dogovorjenem postopku in nato ustvari potrdilo, ki ga podpiše s svojim zasebnim ključem.
• Prejemnik potrdila lahko z uporabo javnega ključa CA preveri digitalni podpis na potrdilu — če se podpis ujema, je potrdilo veljavno in izvira od zaupanja vrednega CA.
• Pri TLS/HTTPS povezavi strežnik pokaže svoje potrdilo; brskalnik preveri, ali je potrdilo izdano s strani zaupanja vrednega CA, ali poteka čas veljavnosti in ali ime v potrdilu ustreza zahtevani domeni.
• Za zagotavljanje zaupnosti se običajno izvede tudi protokol izmenjave ključev (npr. Diffie‑Hellman), pri katerem potrdilo potrdi identiteto in omogoči varno izmenjavo sejne ključe.

Certifikatni verigi in zaupanja

Potrdila pogosto tvorijo verigo: potrdilo strežnika je lahko podpisano z vmesnim potrdilom, to pa z drugim vmesnim ali z root (korenskim) potrdilom. Brskalniki in operacijski sistemi imajo vgrajen seznam zaupanja vrednih root CA (trust store). Če veriga vodi do enega od teh root CA in vsi podpisi ter pogoji veljavnosti držijo, je potrdilo sprejeto kot zanesljivo.

Revokacija in preverjanje statusa

V primeru kompromitacije zasebnega ključa ali spreminjanja podatkov lahko CA potrdilo prekliče. Preverjanje preklica se izvaja z orodji, kot so:

• CRL (Certificate Revocation List) – seznam preklicanih potrdil, ki ga objavlja CA.
• OCSP (Online Certificate Status Protocol) – protokol za poizvedbo o trenutnem statusu potrdila (hitrejše od CRL).

Ker preverjanje preklica ni vedno izvedeno (ali je lahko počasno), nekateri sistemi uporabljajo tudi kratkoživa potrdila ali OCSP stapling za zanesljivejše rezultate.

Vrste in razredi potrdil

V praksi se pogosto uporablja delitev, ki ste jo omenili v izvirnem besedilu. Preprosta razlaga:

• Razred 1: potrdila z minimalnim preverjanjem (običajno potrjena e‑pošta ali domena). Pogosto se imenujejo tudi Domain Validation (DV). Nimajo pravne veljavnosti za potrjevanje identitete podjetja.
• Razred 2: zahteva dodatno preverjanje identitete v zaupanja vrednih, vnaprej preverjenih zbirkah podatkov ali dokumentih. Ta razred ustreza Organization Validation (OV).
• Razred 3: najstrožji postopki, pogosto vključujejo osebno preverjanje identitete ali predložitev uradnih dokumentov. Uporablja se za certifikate z visoko stopnjo zaupanja, podobno kot Extended Validation (EV).

Opomba: sodobna terminologija pogosto uporablja DV, OV in EV; razredi so lahko definirani različno glede na jurisdikcijo ali politiko CA.

Uporabe digitalnih potrdil

• TLS/HTTPS za varne spletne povezave.
• S/MIME za podpisovanje in šifriranje e‑pošte.
• Podpisovanje kode (code signing) za preverjanje pristnosti programske opreme.
• Avtentikacija odjemalcev (client certificates) za dostop do API‑jev in notranjih sistemov.
• Digitalno podpisovanje dokumentov (npr. PDF).

Kje se hranijo in kako varovati zasebne ključe

Potrdila in ključi se hranijo v različnih oblikah: v brskalnikih, operacijskih sistemih, datotekah PKCS#12 (.p12/.pfx), v programski opremi in na strojni opremi (HSM, TPM, smart kartice). Najboljše prakse vključujejo:

• Uporabo minimalno potrebne dolžine ključa in sodobnih algoritmov (npr. RSA 2048/3072+ ali ECC P‑256/P‑384).
• Shranjevanje zasebnih ključev v varnem okolju (HSM ali šifriran ključnik).
• Redno obnavljanje in pravočasno podaljševanje potrdil.
• Takojšnjo revokacijo in zamenjavo pri sumu kompromitacije.

Priporočila

• Uporabljajte potrdila od zaupanja vrednih CA in preverite, ali uporabljajo varne algoritme (SHA‑256+).
• Preverjajte razširitve (SAN) in Key Usage, da potrdilo ustreza namenu.
• Implementirajte preverjanje preklica (OCSP/CRL) ali OCSP stapling tam, kjer je to mogoče.
• Varujte zasebne ključe z namenskimi varnimi rešitvami (HSM, TPM, hardware tokens).

Digitalna potrdila so temelj sodobne internetne varnosti — omogočajo identifikacijo, integriteto in zaupnost komunikacij. Razumevanje njihovega načina delovanja, življenjskega cikla in razvrstitve je ključno za varno uporabo v organizacijah in pri posameznikih.

Vprašanja in odgovori

V: Kaj so digitalna potrdila?

V: Kdo izdaja digitalna potrdila?

V: Katere informacije vsebuje digitalno potrdilo?

V: Kaj je X.509?

V: Kateri so razredi digitalnih potrdil?

V: Kaj je digitalno potrdilo razreda 1?

V: Kaj je digitalno potrdilo razreda 3?

Išči po črki