ISRG celebrates 10 years of helping build a brighter Internet →

Термінологія

Останнє оновлення: | Переглянути всю документацію

ACME (Automatic Certificate Management Environment) : Протокол реалізовано Let’s Encrypt. Програмне забезпечення, сумісне з тим протоколом, може використовувати його для комунікації з Let’s Encrypt для запиту сертифікату. ACME RFC - Вікіпедія

ACME Client : Програма зв‘язку з сервером ACME для запиту сертифікату.

ACME Server : ACME-це сумісний сервер, що може генерувати сертифікати. Програмне забезпечення, яке належить Let’s Encrypt Boulder, є ACME-сумісним, з деякими відхиленнями .

Authority Information Access (AIA) : Сертифікаційне розширення використовується, щоб показати представникам користувача, як отримати інформацію про видавця сертифікату. Це зазвичай точно визначає OCSP URI і видавця URI.

Baseline Requirements (BRs) : Перелік технічних вимог та правил для Центрів Сертифікації (ЦС). Оскільки всі основні кореневі програми містять базові вимоги, щоб більшість браузерів їм довіряли, ЦС повинні відповідати цим вимогам.

Boulder : Програмне забезпечення, що реалізує ACME, розроблене та використовується Let’s Encrypt. GitHub

CA Issuers : Частина поля AIA, що містить інформацію про видавця сертифікату. Може стати в нагоді, якщо вебсервер не надав надійний ланцюжок сертифікатів.

CA/Browser Forum : Добровільна група ЦС, постачальників програмного забезпечення для веб-браузерів, операційних систем та інших програм, що підтримують PKI. Форум ЦС/браузера публікує базові вимоги. Let’s Encrypt є членом Форуму ЦС/браузера. Вікіпедія

CAA (Certificate Authority Authorization) : Запис DNS, який визначає яким ЦС дозволено видавати сертифікат для відповідного доменного імені. Записи Авторизації центру сертифікації (CAA) перевіряються ЦС, а не браузерами. Let’s Encrypt шанує записи CAA відповідно до базових вимог . - Вікіпедія

Canonical Name record (CNAME) : Запис DNS, що зіставляє одне доменне ім’я з іншим, називається канонічним ім’ям. Вікіпедія

Certificate : Файл у певному форматі містить відкритий ключ та інші дані, що описують коли саме використовувати цей відкритий ключ. Найпоширеніший вид сертифіката - це leaf certificate. Також є проміжні і кореневі сертифікати.

Certificate Authority (CA) : Організація, що видає сертифікати. Let’s Encrypt, IdenTrust, Sectigo та DigiCert є Центрами Сертифікації. Вікіпедія

Certificate Policy (CP) : Іменований набір правил, який вказує на можливість залучення сертифіката до певної спільноти та/або класу додатків із загальними вимогами безпеки. Більше деталей випуску викладені в CPS. Політика сертифікатів дослідницької групи з питань безпеки Інтернету (ISRG) - RFC 3647 - Вікіпедія

Certificate Revocation List (CRL) : Метод інформування агентів користувача про статус відкликання сертифікату. Це перелік серійних номерів усіх відкликаних сертифікатів з даного ЦС, підписаний цим ЦС. Вікіпедія

Certificate Signing Request (CSR) : Підписаний файл, що містить інформацію, необхідну ЦС для створення сертифікату. Необхідна інфрмація для Let’s Encrypt - це Загальна назва, Альтернативні імена суб’єктів, а також інформація про відкритий ключ. Зазвичай, клієнтські програми автоматично генерують запит на підпис сертифікату (CSR) для користувача, хоча постачальник веб-хостингу або девайсу можуть також генерувати CSR. Вікіпедія

Certificate Store : Сховище сертифікатів містить список надійних коренів. Оперативні системи (такі як, Windows, Android або Debian) та веб-браузери (наприклад, Firefox) підтримують сховище сертифікатів. Браузери без такого сховища покладаються на сховище сертифікатів операційних систем. Сертифікати від Let’s Encrypt мають довіру більшості сховищ сертифікатів.

Certificate Transparency (CT) : Для підвищення безпеки сертифікати (або precertificates) мають бути опубліковані у журналах прозорості сертифікатів: https://www.certificate-transparency.org/. Let’s Encrypt генерує та публікує пресертифікати, та включає до наступного сертифікату перелік SCT для пресертифіката. Деякі браузери, як Google Chrome, вимагають наявності цієї обіцяної перевірки для підтвердження сертифіката. Вікіпедія

Certificate Transparency Log : Компонент Прозорості сертифікату, який приймає сертифікати і пресертифікати та включає їх до постійного, загальнодоступного переліку, що перевіряється.

Certificate chain : Перелік проміжних сертифікатів, що допомагає агентові користувача визначити чи можна довіряти кінцевому суб’єкту або листовому сертифікату, підключивши його до кореневого сертифікату у сховищі сертифікатів. Примітка: ланцюжок не завжди унікальний, і коли веб-сайт представляє ланцюжок сертифікатів, що веде до одного кореня, то агент користувача може вирішити використовувати інший ланцюг для перевірки сертифіката. Вікіпедія

Certificate extension : У сертифікатах більшість полів визначаються розширеннями. Нприклад, Додаткові імена суб’єкта (SAN) та AIA є розширеннями. Механізм розширення дозволяє створювати нові поля, що не були частиною оригінальногоX.509 стандарту.

Certificate issuer : Поле “Видавець” сертифіката описує, який сертифікат його підписав. Наприклад, поле “Видавець” сертифіката кінцевого користувача від Let’s Encrypt може бути “Issuer: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”. Воно зазвичай містить такі поля, як Загальна назва , Країна та Організація. Поле “Видавець” завжди відповідає полю “Суб’єкт” в сертифікаті. Для таких самопідписаних сертифікатів, як кореневі, Видавець той самий, що й Суб’єкт. Термін “Видавець” також може використовуватися для позначення сертифікатів, які видають інші сертифікати ( проміжні або кореневі), або для організації, що видає сертифікати.

Certificate subject : Поле “Суб’єкт” сертифіката вказує, про що йдеться у сертифікаті. Воно зазвичай містить такі поля, як Загальна назва , Країна та Організація.

Certification Practice Statement (CPS) : Заява про практику, яку використовує центр сертифікації при видачі, управлінні, відкликанні, поновленні або при переоформленні сертифікатів. Заява ISRG про сертифікацію - RFC 3647 розділ 3.4 Вікіпедія

Common Name (CN) : У частині сертифіката “Суб’єкт” описується, про що йдеться у сертифікаті. Для кореневих і проміжних сертифікатів це читабельна назва центру сертифікації. Для листового сертифікату - це одне з доменних імен у сертифікаті. Примітка: Загальна назва обмежена 63 символами. Це застарілий метод позначення доменного імені, на яке поширюється сертифікат, оскільки поточні стандарти Інтернету передбачають, що програмне забезпечення перевірятиме лише Альтернативні імена суб’єктів (SAN), щоб визначити придатність сертифіката.

Critical extension : Сертифікат може містити розширення з позначкою “критично.” У такому разі програмне забезпечення має відхилити цей сертифікат, якщо програмне забезпечення не розуміє, як обробляти розширення. Це дає можливість впроваджувати нові розширення, важливі для безпеки, не створюючи ризиків для старого програмного забезпечення.

Cross Signing : Сертифікат, що видається, може підписуватись кількома коренями. Наприклад, в Let’s Encrypt проміжні також підписані IdenTrust, оскільки під час запуску кореневих сертифікатів Let’s Encrypt вони ще не підтримувались сховищами сертифікатів. Технічно це досягається за допомогою видачі двох сертифікатів, що використовують один і той же суб’єкт і ту саму пару ключів , один підписаний приватним ключем кореня Let’s Encrypt, а інший - приватним ключем кореня IdenTrust: /certificates. Вікіпедія

DNS-based Authentication of Named Entities (DANE) : Механізм, який використовує DNS, щоб вказати, як перевірити автентичність сертифікату або представленого ключа шифрування. Вікіпедія

Domain Name System Security Extensions (DNSSEC) : Механізм криптографічної автентифікації відповідей DNS. DNSSEC вимагає розгортання TLD, власниками імен доменів та рекурсивними резольверами для набуття чинності. Ухвалення поки що на досить низькому рівні. Вікіпедія

Domain-validated certificate : сертифікат , де заявник лише довів свій контроль над доменним іменем (а не ідентифікаційні дані запитуючої організації). Let’s Encrypt пропонує лише сертифікати DV (не OV або EV ): FAQ - Вікіпедія

ECDSA (Elliptic Curve Digital Signature Algorithm) : Варіант алгоритму цифрового підпису (DSA), який використовує криптографію з еліптичною кривою. Вікіпедія. Let’s Encrypt підтримує ECDSA для сертифікатів кінцевого користувача або листових сертифікатів, але не для всього ланцюжка: /upcoming-features

Ed25519 : Особливий тип EdDSA, разом із Ed448.

EdDSA (Edwards-curve Digital Signature Algorithm) : Сучасна система підпису відкритих ключів на основі еліптичних кривих, призначена для вирішення кількох поширених проблем впровадження криптографії на еліптичній кривій. Центри сертифікації, такі як Let’s Encrypt , ще не можуть надавати сертифікати EdDSA. Вікіпедія

Elliptic Curve Cryptography (ECC) : Тип криптографії з відкритим ключем на основі еліптичних кривих. ECC використовує менші ключі порівняно з криптографією, що не належить до ЄС, забезпечуючи при цьому еквівалентну безпеку. Cloudflare - Вікіпедія

Extended Validation (EV) : Тип підтвердження сертифіката, для якого ЦС перевірив юридичну особу, що контролює веб-сайт. Він містить інформацію про цю організацію. Контроль ЦС більш суровий, ніж для OV сертифікатів. Let’s Encrypt не пропонує EV сертифікати. Вікіпедія

Fully qualified domain name (FQDN) : Повне доменне ім’я веб -сайту. Наприклад, www.example.com - повне доменне ім’я(FQDN).

HTTP Public Key Pinning (HPKP) : Механізм безпеки, який просить веб-переглядач вимагати, щоб ланцюжок сертифікатів сайту використовувати певні відкриті ключі під час майбутніх завантажень. Chrome запровадив цей механізм для захисту від компромісу ЦС, але він спричинив перебої на сайті, що призвело до того, що Chrome [Скасуйте підтримку та видаліть її](https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/ he9tr7p3rZ8). Wikipedia

IdenTrust : Центр сертифікації. IdenTrust має крос-підпис проміжних сертифікатів Let’s Encrypt: /certificates. Вікіпедія

Intermediate certificate : Сертифікат, підписаний кореневим або іншим проміжним сертифікатом, також здатен підписувати інші сертифікати. Вони використовуються для підписання листових сертифікатів, зберігаючи при цьому закритий ключ кореневого сертифіката в автономному режимі. Проміжні сертифікати включені доланцюжків сертифікатів. Вікіпедія

Internationalized Domain Name (IDN) : Доменне ім’я з символами, відмінними від a до z, 0 до 9 та дефісом(-). Вони можуть, наприклад, містити арабські, китайські, кириличні, тамільські, єврейські або латинські символи з діакритикою або лігатурами. Закодоване представлення доменів IDN починається з xn--. IDN підтримуються Let’s Encrypt: https://letsencrypt.org/2016/10/21/представляючи-idn-support.html. Вікіпедія - RFC 5890 - RFC 5891

Internationalized Domain Names for Applications (IDNA) : Див. інтернаціоналізоване доменне ім’я .

Internet Security Research Group (ISRG) : Організація, яка стоїть за Let’s Encrypt: https://www.abetterinternet.org/about/. Вікіпедія

Key-pair : Поєднання приватного ключа та відкритого ключа, що використовується для підпису або шифрування. Відкритий ключ зазвичай вбудовується в сертифікат, тоді як приватний ключ зберігається окремо і повинен зберігатися в таємниці. Пара ключів може бути використана для шифрування та дешифрування, для підпису та перевірки даних або узгодження вторинних ключів, залежно від програми. Wikipedia

Leaf certificate (end-entity certificate) : Найчастіше сертифікат, підписанийintermediate, дійсний для набору доменів і не може підписувати інші сертифікати. Це тип сертифіката, який ACME clients запрошує і використовує web servers. Wikipedia

Let's Encrypt (LE) : ЦС , яким керує ISRG . Wikipedia

Mixed content : Коли веб-сторінка HTTPS завантажує суб-ресурси (Javascript, CSS або зображення) через HTTP. Браузери можуть блокувати змішаний вміст або позначати сторінку як менш безпечну, якщо присутній змішаний вміст:https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. Щоб вирішити проблему змішаного вмісту, веб -розробник повинен змінити свої сторінки, щоб усі ресурси використовували URL -адреси HTTPS. Інструменти розробника , вбудовані у браузери і можуть використовуватися, щоб з’ясувати, які ресурси викликають проблеми зі змішаним вмістом.

OCSP (Online Certificate Status Protocol) : Метод перевірки скасування статус certificate. Іншими словами, спосіб перевірити, чи ЦС вказує, що сертифікат більше не повинен вважатися дійсним, навіть якщо термін його дії ще не досяг. Цей запит може створити проблеми з конфіденційністю, оскільки дозволяє цс та постачальникам послуг Інтернету безпосередньо спостерігати, хто відвідує які сайти. Wikipedia

OCSP Must-Staple : certificateрозширення, інформує браузер , що веб-сервер із цим сертифікатом повинен використовуватиOCSP stapling. Він використовується для того щоб вимагати оновлений статусrevocation сертифіката підтверджувався веб -сервер при кожному з’єднанні, що робить відкликання більш надійним. Let’s Encrypt може видавати сертифікати з OCSP Must-Staple extension за запитом. Mozilla Security Blog RFC 7633

OCSP stapling : Спосіб для веб-сервера надсилати browser an OCSP відповідь, підписана ЦС, тому браузеру не потрібно подавати вторинний запит OCSP до ЦС, покращуючи швидкість та конфіденційність. Також відомий як розширення запиту статусу TLS сертифіката. Wikipedia Cloudflare

Object identifier (OID) : OID - це унікальні числові ідентифікатори, стандартизовані Міжнародною телекомунікаційною спілкою (ITU) та ISO/IEC. OID використовуються в сертифікатах для визначення розширень, полів або тверджень політики. Інтернет стандарти та Політика сертифікатів і Заяви про практику сертифікації документи визначають використання OID. Wikipedia

Organization Validation (OV) : Сертифікати для яких CA підтвердив юридичну особу Subscriber. Вони містять інформацію про цю організацію. Let’s Encrypt не пропонує OV сертифікатів. Wikipedia

PEM file (.pem) : Формат криптографічної інформації (спочатку вказано як частина Покращених Поштових Інтернет-стандартів для безпечної електронної пошти). Документ PEM може представляти інформацію таку як приватний ключ, відкритий ключ або цифровий сертифікат. Ці файли починаються на “----BEGIN”, а потім тип даних. Wikipedia

Personal Information Exchange Files (.pfx) : Файл, який може містити лист сертифікату, його ланцюжок до кореня і закритий ключ листа. Дивіться також https://uk.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center

Precertificate : Сутички є частиною Прозорість сертифікатів. Пресертифікат – це копія сертифікату, який CA має намір видати, з критичним розширенням додано, щоб запобігти прийняттю попереднього сертифіката програмним забезпеченням у дикій природі. ЦС подає пресертифікат в журнали CT в обмін на SCT. Оскільки пресертифікат не ідентичний його відповідному сертифікату, журнали прозорості сертифікатів можуть містити обидва. RFC 6962 Section 3.1

Public Suffix List (PSL) : Список Загальнодоступних суфіксів, який підтримує Mozilla, вказуючи, який Інтернет домени доступні для багатьох окремих організацій для реєстрації субдоменів. Наприклад, список вказує, що і com, і co.uk є загальнодоступними суфіксами, хоча co.uk не є TLD. Веб-браузери використовують цей список, серед іншого, для того, щоб сайти, які, ймовірно, керуються різними організаціями, не могли обмінюватися файлами cookie один з одним. Let’s Encrypt також використовує список для обчислення ліміту швидкості: /rate-limits. https://publicsuffix.org/

RSA : Алгоритм із відкритим ключем, що використовується для шифрування та цифрового підпису сертифікатів. Wikipedia

Relying Party : Особа покладається на інформації в сертифікаті. Наприклад, хтось, хто відвідує вебсайт HTTPS, є довірчою стороною.

Revocation : Сертифікат чинний до завершення терміну його дії, якщо ЦС не стверджує, що його відкликано. Сертифікат може бути відкликаний з різних причин, наприклад, компрометація приватного ключа. Веб-переглядачі можуть перевірити, чи відкликано сертифікат, використовуючи CRL, OCSP або новіші методи, як-от OneCRL і [CRLSets](https://dev.chromium .org/Home/chromium-security/crlsets). Зауважте, що в багатьох ситуаціях відкликання не працює. /docs/revoking

Root Program : Політики, які організація використовує, щоб вирішити, які сертифікати включити до свого сховища сертифікатів , а отже, яким ЦС довіряє їх програмне забезпечення.

Root certificate : самопідписаний сертифікат, контрольований за допомогою центр сертифікації, який використовується для підписання його проміжних сертифікатів і включений до сховища сертифікатів. Wikipedia

SSL (Secure Sockets Layer) : Старша назва для TLS, досі в загальному вжитку.

Self-signed certificate : Сертифікат, підписаний власним закритим ключем, з темою рівним до свого емітента. Самопідписані сертифікати є надійними лише завдяки попереднім домовленостям, зробленим у фізичному світі, як-от включення до довіреного кореневого списку. Кореневі сертифікати є самопідписаними. Wikipedia

Server Name Indication (SNI) : Поле, яке агент користувача надсилає до сервер під час рукостискання TLS, вказуючи ім’я домену для підключення. Це дозволяє серверу відповідати відповідним сертифікатом, коли кілька доменів розміщено за однією IP-адресою. Веб-сервер може надсилати інший сертифікат і показувати інший вміст, залежно від імені, яке клієнт запитав SNI. SNI не зашифрований, але експериментальна заміна, ESNI, є. Wikipedia

Signed Certificate Timestamp (SCT) : Підписана, піддана перевірці обіцянка опублікувати сертифікат із сертифікату Журнал прозорості. Веб-переглядачі, які застосовують CT, перевіряють наявність SCT в сертифікаті сайту або в рукостисканні TLS , і відмовитися від підключення до сайтів, які не відповідають їхнім вимогам до реєстрації. Це підвищує ймовірність виявлення шахрайських або неточних сертифікатів. https://www.certificate-transparency.org/how-ct-works

Staging : Let’s Encrypt надає проміжний API для перевірки запиту сертифіката, не впливаючи на обмеження швидкості. Сертифікати, створені проміжним середовищем, не є загальнодоступними. Проміжне середовище має використовуватися для тестування, налагодження та розробки клієнта ACME. /docs/staging-environment

Subject Alternative Name (SAN) : Поле сертифікату, яке вказує на який домен( s) сертифікат дійсний. Він замінює використання Загального імені, яке тепер надається лише з міркувань сумісності. Один сертифікат може містити багато SAN, які дійсні для різних доменних імен. Вікіпедія https://letsencrypt.org/uk/docs/rate-limits/#names-per-certificate

Subscriber : Особа або організація, яка запитує сертифікат.

TLS (Transport-Level Security) : Протокол, який використовується HTTPS для шифрування та перевірки справжності відвіданих вебсторінок.

TLSA : Частина DANE спеціально пов’язана з перевіркою з’єднань TLS.

Top-Level Domain (TLD) : Найвищий рівень в ієрархічній системі імена доменів, таких як домени верхнього рівня (ccTLD), такі як . e (Німеччина), .cn (Китай) і загальні домени вищого рівня як . om-, .org. Wikipedia

Unified Communications Certificate (UCC) : Опис сертифікату, що містить кілька Альтернативних імен суб’єкта (SAN).

User Agent : Програмне забезпечення для обміну даними з вебсервером. Наприклад: браузер або cURL.

Web Browser : } Користувач використовується для відображення веб-сторінок. Приклади: Mozilla Firefox, Google Chrome або Internet Explorer format@@. Wikipedia

Web server : Програмне забезпечення обслуговування вебсторінок (або, розширено, апаратне серверне забезпечення, яке розміщує їх). Wikipedia

Wildcard Certificate : Сертифікати дійсні для піддоменів на один рівень нижче. Наприклад, сертифікат, що містить SAN для *.example.com, дійсний для blog.example.com і для www.example.com, але не для bork.bork.example.com або example.com). Підставлення (джокер) позначено символом зірочки (*) замість піддомену. Let’s Encrypt надає Wildcard-сертифікати від березня 2018 року. Wikipedia

X.509 : Звичайне визначення формату публічних сертифікатів. Wikipedia