Certyfikat jest cyfrowym (komputerowym) odpowiednikiem dokumentu tożsamości. Podobnie jak w przypadku posiadania różnych dokumentów tożsamości dla różnych celów (prawo jazdy, dowód osobisty, paszport), jeden użytkownik komputera może posiadać wiele różnych certyfikatów dla różnych celów.
Ten rozdział opisuje podstawowe czynności wykonywane przez użytkownika związane z certyfikatami.
Podobnie jak karta kredytowa czy prawo jazdy w życiu codziennym, certyfikat jest formą identyfikacji użytkownika w Internecie i innych sieciach komputerowych. Jak inne powszechnie używane dokumenty identyfikujące, certyfikat jest zwykle wydawany przez organizację upoważnioną do wydawania takich identyfikatorów. Organizacja wydająca certyfikaty nazywana jest organem certyfikacji (ang. certificate authority (CA)).
Użytkownik może uzyskać certyfikat z publicznych organów certyfikacji, od administratora lub specjalnego organu certyfikacji wewnątrz swojej organizacji (firmy) lub przy pomocy serwisów WWW oferujących specjalistyczne usługi wymagające lepszego uwierzytelnienia niż tradycyjna para: użytkownik — hasło.
Podobnie jak wymagania dotyczące uzyskiwania prawa jazdy zależą od rodzaju pojazdów, którymi użytkownik będzie kierować, wymagania dotyczące uzyskiwania certyfikatu zależą od przewidywanych celów jego używania. W niektórych przypadkach uzyskanie certyfikatu może sprowadzać się do odwiedzenia strony WWW, podania kilku informacji osobistych i automatycznego pobrania pliku certyfikatu do przeglądarki. W innych przypadkach mogą zachodzić bardziej skomplikowane procedury uzyskiwania certyfikatu.
Użytkownik może w każdej chwili uzyskać certyfikat odwiedzając witrynę organu certyfikacji i postępując zgodnie z instrukcjami podanymi na niej. Lista znanych światowych organów certyfikacji uznawanych przez program &brandShortName; dostępna jest na stronie Included Certificate List (strona w języku angielskim).
Pozyskany certyfikat jest automatycznie zachowywany w urządzeniu zabezpieczającym. Twoja przeglądarka jest domyślnie wyposażona we wbudowane programowe urządzenie zabezpieczające. Urządzeniem zabezpieczającym może również być urządzenie sprzętowe, np. karta inteligentna.
Podobnie jak prawo jazdy czy dowód osobisty albo karta kredytowa, certyfikat jest cenną formą identyfikacji użytkownika, która może być nadużywana w przypadku dostania się w niepowołane ręce. Po uzyskaniu certyfikatu użytkownik powinien chronić go na dwa sposoby: przez utworzenie kopii zapasowej i ustawienie własnego głównego hasła.
Przy instalacji nowego certyfikatu użytkownik może zostać poproszony o stworzenie jego kopii zapasowej. Jeśli dotychczas nie zostało ustanowione główne hasło zabezpieczające, w tym samym momencie zostanie wyświetlona propozycja jego utworzenia.
Szczegółowe informacje o tworzeniu kopii zapasowej certyfikatów i ustawianiu głównego hasła w rozdziale Twoje certyfikaty.
Przy oglądaniu dowolnej strony internetowej w okolicy prawego dolnego rogu okna pojawia się ikona kłódki. Ikona ta informuje użytkownika o tym, czy zawartość strony była zabezpieczona przez szyfrowanie podczas jej odbierania przez komputer:
|
Zamknięta kłódka oznacza, że strona była zaszyfrowana podczas jej przesyłania do komputera. |
|
Otwarta kłódka lub jej brak oznacza, że strona nie była zaszyfrowana podczas przesyłania do komputera. |
|
Złamana kłódka oznacza, że niektóre lub wszystkie elementy składające się na stronę WWW nie były zaszyfrowane podczas przesyłania, nawet pomimo tego, że kod HTML strony był przesłany w postaci zaszyfrowanej. |
Aby uzyskać więcej informacji na temat stanu szyfrowania odebranej strony, należy kliknąć ikonę kłódki (lub wybrać polecenie Informacje o stronie z menu Widok, a następnie kartę Zabezpieczenia).
Karta Zabezpieczenia okna dialogowego Informacji o stronie zawiera dwa rodzaje informacji:
Ważne: Ikona kłódki opisuje jedynie stan szyfrowania strony podczas jej odbioru przez komputer użytkownika. Aby mieć informację o braku szyfrowania przy odbieraniu lub wysyłaniu informacji, or to block potentially harmful mixed content, select the appropriate SSL warning and mixed content options. See Privacy & Security Preferences - SSL for details.
Do zarządzania posiadanymi certyfikatami można używać wbudowanego Menedżera certyfikatów. Certyfikaty mogą być przechowywane na dysku twardym komputera użytkownika, na kartach inteligentnych lub innych urządzeniach zabezpieczających dołączonych do komputera użytkownika.
Aby uruchomić Menedżera certyfikatów, należy:
Na górze okna dialogowego Menedżera certyfikatów można zauważyć kilka kart. Pierwsza z nich (widoczna domyślnie po otwarciu Menedżera) jest nazwana Twoje certyfikaty i po jej wybraniu w oknie dialogowym poniżej pokazywane są certyfikaty, które udostępnia przeglądarka lub klient poczty w celu identyfikacji bieżącego użytkownika. Certyfikaty te są umieszczone poniżej nazw organizacji, które je wydały.
Aby wykonać jedną z czynności związanych z jednym lub wieloma certyfikatami, należy zaznaczyć dany certyfikat (lub przy pomocy jednoczesnego kliknięcia lewym klawiszem myszy i przytrzymania klawisza CmdCtrl zaznaczyć ich większą ilość), a następnie nacisnąć jeden z przycisków dostępnych na dole okna Menedżera certyfikatów. Naciśnięcie każdego z nich wywołuje kolejne okno dialogowe, pozwalające na dokończenie wybranej czynności. Więcej informacji o używaniu danego okna dialogowego jest dostępne po naciśnięciu przycisku Pomoc.
Więcej informacji o przeglądaniu i zarządzaniu certyfikatami w rozdziale Twoje certyfikaty.
Przy tworzeniu wiadomości poczty elektronicznej autor ma możliwość dołączenia do niej swojego podpisu cyfrowego. Podpis cyfrowy umożliwia odbiorcom wiadomości weryfikację oryginalności jej pochodzenia (czy faktycznie pochodzi od nadawcy widniejącego w polu Od: i czy nie została zafałszowana po drodze od nadawcy do odbiorcy).
Przy każdej wysyłce wiadomości podpisanej cyfrowo automatycznie do niej jest dołączany certyfikat nadawcy (część publiczna). Ta część certyfikatu umożliwia odbiorcom wysyłanie do nadawcy wiadomości zaszyfrowanych.
Jednym z najprostszych sposobów uzyskania części publicznej certyfikatu osoby trzeciej jest otrzymanie od niej wiadomości podpisanej cyfrowo. Menedżer certyfikatów automatycznie zachowuje certyfikaty osób trzecich otrzymane w ten sposób.
Aby zobaczyć posiadane certyfikaty identyfikujące inne osoby, należy otworzyć kartę Inne osoby w oknie Menedżera certyfikatów. Użytkownik może wysyłać zaszyfrowane wiadomości poczty elektronicznej do każdej osoby, której ważny certyfikat posiada. Certyfikaty są umieszczone poniżej nazw organizacji, które je wydały.
Aby wykonać jedną z czynności związanych z jednym lub wieloma certyfikatami, należy zaznaczyć dany certyfikat (lub przy pomocy jednoczesnego kliknięcia lewym klawiszem myszy i przytrzymania klawisza CmdCtrl zaznaczyć ich większą ilość), a następnie nacisnąć jeden z przycisków dostępnych na dole okna Menedżera certyfikatów. Naciśnięcie każdego z nich wywołuje kolejne okno dialogowe pozwalające na dokończenie wybranej czynności. Więcej informacji o używaniu danego okna jest dostępnych po naciśnięciu przycisku Pomoc.
Więcej informacji o przeglądaniu i zarządzaniu tymi certyfikatami w rozdziale Inne osoby.
Niektóre witryny i serwery pocztowe używają certyfikatów w celach potwierdzania własnej tożsamości. Takie potwierdzenie jest wymagane przed rozpoczęciem szyfrowania informacji przesyłanych z serwera do komputera (lub w odwrotną stronę) i uniemożliwia tym samym odczyt danych w trakcie ich przesyłania.
Jeżeli adres URL witryny zaczyna się od https://, posiada ona certyfikat. Jeżeli użytkownik odwiedzi taką stronę, a jej certyfikat został wydany przez organ certyfikacji, którego Menedżer certyfikatów nie posiada w swojej bazie, lub organ nie jest zaufany, przeglądarka wyświetli zapytanie o chęć zaakceptowania certyfikatu strony. Po akceptacji certyfikatu Menedżer certyfikatów doda go do swojej bazy certyfikatów witryn.
Aby zobaczyć wszystkie posiadane certyfikaty witryn, należy otworzyć kartę Serwery w oknie Menedżera certyfikatów.
Aby wykonać jedną z czynności związanych z jednym lub wieloma certyfikatami, należy zaznaczyć dany certyfikat (lub przy pomocy jednoczesnego kliknięcia lewym klawiszem myszy i przytrzymania klawisza CmdCtrl zaznaczyć ich większą ilość), a następnie nacisnąć jeden z przycisków dostępnych na dole okna Menedżera certyfikatów. Naciśnięcie każdego z nich wywołuje kolejne okno dialogowe pozwalające na dokończenie wybranej czynności. Więcej informacji o używaniu danego okna jest dostępnych po naciśnięciu przycisku Pomoc.
Więcej informacji o przeglądaniu i zarządzaniu tymi certyfikatami w rozdziale Serwery.
Podobnie jak inne powszechnie używane formy identyfikacji użytkowników, certyfikat jest wydawany przez organizację, która została uznana za odpowiednio wiarygodną do wydawania certyfikatów. Organizacja wydająca certyfikaty nazywa się organem certyfikacji. Certyfikat identyfikujący organ certyfikacji jest nazywany certyfikatem organu certyfikacji.
Menedżer certyfikatów zwykle posiada w swojej bazie wiele certyfikatów organów certyfikacji. Te certyfikaty umożliwiają Menedżerowi certyfikatów poprawne rozpoznawanie i pracę z certyfikatami wydanymi przez odpowiedni organ certyfikacji. Jednakże obecność certyfikatu organu certyfikacji na tej liście nie gwarantuje, że certyfikaty wydawane przez niego mogą być w każdym przypadku traktowane jako zaufane. Decyzja, które certyfikaty mogą być traktowane jako zaufane powinna zależeć od konkretnych potrzeb związanych z bezpieczeństwem systemu.
Aby zobaczyć wszystkie posiadane certyfikaty organów certyfikacji, należy wyświetlić zawartość karty Organy certyfikacji w oknie Menedżera certyfikatów.
Aby wykonać jedną z czynności związanych z jednym lub wieloma certyfikatami, należy zaznaczyć dany certyfikat (lub przy pomocy jednoczesnego kliknięcia lewym klawiszem myszy i przytrzymania klawisza CmdCtrl zaznaczyć ich większą ilość), a następnie nacisnąć jeden z przycisków dostępnych na dole okna Menedżera certyfikatów. Naciśnięcie każdego z nich wywołuje kolejne okno dialogowe pozwalające na dokończenie wybranej czynności. Więcej informacji o używaniu danego okna jest dostępnych po naciśnięciu przycisku Pomoc.
Więcej informacji o przeglądaniu i zarządzaniu tymi certyfikatami w rozdziale Organy certyfikacji.
Aby zobaczyć wszystkie certyfikaty które nie pasują do żadnej z pozostałych kategorii, należy wyświetlić zawartość karty Inne w oknie Menedżera certyfikatów.
Więcej informacji o przeglądaniu i zarządzaniu tymi certyfikatami w rozdziale Inne.
Karta inteligentna jest małym urządzeniem (typowo wielkości karty kredytowej). Posiada ona mikroprocesor i jest zdolna do przechowywania informacji identyfikujących użytkownika (takich, jak: klucze prywatne, czy certyfikaty) i wykonywania związanych z nimi operacji kryptograficznych.
Aby używać kart inteligentnych, użytkownik zwykle potrzebuje czytnika kart inteligentnych (urządzenia sprzętowego), który jest przyłączany do komputera, oraz odpowiedniego oprogramowania kontrolującego pracę czytnika i karty.
Karta inteligentna jest jednym z rodzajów urządzeń zabezpieczających. Innym rodzajem takiego urządzenia jest urządzenie sprzętowe (zwane też tokenem), które zawiera wbudowane odpowiednie mechanizmy kryptograficzne i posiada możliwość przechowywania informacji identyfikujących użytkownika. Aby pracować z wykorzystaniem kart inteligentnych i innych urządzeń zabezpieczających należy korzystać z Menedżera urządzeń zabezpieczających.
Okno dialogowe Menedżera urządzeń zabezpieczających pokazuje wszystkie dostępne dla przeglądarki urządzenia zabezpieczające. Przy użyciu Menedżera istnieje możliwość zarządzania wszelkimi urządzeniami zabezpieczającymi (włączając w to karty inteligentne), które obsługują standard PKCS #11 (ang. Public Key Cryptography Standard (PKCS) #11).
Moduł PKCS #11 (czasami nazywany też modułem zabezpieczającym) zarządza jednym lub więcej urządzeniami zabezpieczającymi w zbliżony sposób do tego w jaki programowy sterownik sprzętu zarządza zewnętrznym urządzeniem (typu drukarka, czy modem). Przy instalacji karty inteligentnej, użytkownik musi również zainstalować odpowiedni dla niej moduł PKCS #11, jak również podłączyć do komputera czytnik karty.
Domyślnie, Menedżer urządzeń zabezpieczających zarządza dwoma wewnętrznymi modułami PKCS #11, które z kolei zarządzają trzema urządzeniami zabezpieczającymi:
Menedżer urządzeń zabezpieczających umożliwia wykonywanie czynności związanych z ich obsługą. Aby otworzyć okno dialogowe Menedżera urządzeń zabezpieczających, należy:
Menedżer urządzeń zabezpieczających wyróżnia każdy dostępny moduł PKCS #11 pogrubieniem. Urządzenia zabezpieczające są widoczne jako pojedynczy moduł poniżej jego nazwy.
Po zaznaczeniu urządzenia zabezpieczającego, w prawej części okna pojawiają się informacje o nim i zostają uaktywnione niektóre przyciski z prawej strony. Przykładowo, po zaznaczeniu pozycji Urządzenie zabezpieczające, można wykonać następujące czynności:
Powyższe czynności mogą być wykonywane przy wykorzystaniu większości urządzeń zabezpieczających. Jednakże nie można ich wykonywać z modułami Builtin Object Token i Standardowe usługi szyfrujące. Te moduły są urządzeniami specjalnego przeznaczenia i w normalnych warunkach pracy przeglądarki muszą być dostępne cały czas.
Więcej informacji można znaleźć w rozdziale Menedżer urządzeń zabezpieczających.
Aby używać kart inteligentnych lub innych zewnętrznych urządzeń zabezpieczających, użytkownik musi najpierw zainstalować w komputerze oprogramowanie urządzenia i, jeśli to niezbędne, podłączyć urządzenie do komputera. Dokładne informacje na temat instalacji zewnętrznych urządzeń zabezpieczających są dostępne w dokumentacji urządzenia.
Aby wczytać nowy moduł po jego poprawnym zainstalowaniu w komputerze, należy dalej postępować według poniższych czynności:
Po poprawnym wczytaniu nowy moduł pojawi się pod podaną nazwą na liście modułów.
Aby usunąć moduł z pamięci, należy zaznaczyć jego nazwę i nacisnąć przycisk Usuń z pamięci.
Federal Information Processing Standards Publications (FIPS PUBS) 140-1 jest standardem rządu USA implementacji modułów kryptograficznych — czyli urządzeń sprzętowych lub programowych, które potrafią wykonywać operacje szyfrowania i deszyfrowania danych, lub inne operacje kryptograficzne (jak na przykład tworzenie lub weryfikowanie podpisów cyfrowych). Wiele urządzeń sprzedawanych instytucjom rządowym USA musi spełniać wymogi jednego lub wielu standardów FIPS.
Aby uaktywnić w przeglądarce tryb FIPS, należy użyć Menedżera urządzeń zabezpieczających:
Aby wyłączyć tryb FIPS, należy nacisnąć przycisk Wyłącz FIPS. (Możliwe że bezpośrednio po aktywacji tego trybu przycisk będzie nieaktywny-wyszarzony, w takim wypadku należy zrestartować program).
Protokół SSL (ang. Secure Sockets Layer) umożliwia wymianę informacji pomiędzy komputerami w Internecie w postaci zaszyfrowanej. Informacje są kodowane podczas transmisji i dla osób postronnych są pozornie pozbawione sensu. SSL jest także używane do identyfikacji komputerów w Internecie przy pomocy certyfikatów.
Protokół TLS (ang. Transport Layer Security) jest nowym standardem opartym na SSL. Domyślnie przeglądarka obsługuje zarówno protokół SSL, jak i TLS. Takie rozwiązanie jest istotne z punktu widzenia użytkownika, gdyż gwarantuje poprawną pracę przeglądarki z niemal każdym istniejącym oprogramowaniem internetowym, które obsługuje dowolną wersję SSL lub TLS.
Jednak w niektórych sytuacjach administrator systemu lub inne osoby odpowiedzialne za bezpieczeństwo systemu mogą mieć potrzebę dopasowania ustawień SSL dla celów szczególnej ochrony systemu, lub wyszukiwania błędów w starszych wersjach produktów.
Użytkownik nie powinien zmieniać ustawień SSL, jeśli nie posiada odpowiedniej wiedzy w tym zakresie, lub nie posiada pomocy ze strony osoby znającej się na dopasowywaniu SSL. Gdy zachodzi potrzeba zmiany ustawień SSL, należy:
Więcej informacji w rozdziale Ustawienia SSL.
Jak podano powyżej w rozdziale zatytułowanym Uzyskiwanie własnego certyfikatu, certyfikat jest formą identyfikacji jego posiadacza przeznaczoną na potrzeby Internetu i innych sieci komputerowych. Podobnie jak prawo jazdy, również certyfikat może w pewnych warunkach zostać unieważniony lub wygasnąć. Z tego powodu oprogramowanie zarządzające certyfikatami musi posiadać metody sprawdzania ważności certyfikatu przed jego zaakceptowaniem dla konkretnych celów identyfikacji użytkownika.
Ten rozdział opisuje, w jaki sposób Menedżer certyfikatów sprawdza ważność certyfikatów i jak użytkownik może wpływać na proces tego sprawdzania. Aby zrozumieć proces kontroli ważności certyfikatów, należy zapoznać się z informacjami zawartymi w słowniku na temat kryptografii z kluczem publicznym. W przypadku niepewności co do używania certyfikatów, należy przed jakimikolwiek próbami zmian ustawień przeglądarki zasięgnąć rady osoby doświadczonej (np. administratora systemu).
Menedżer certyfikatów przy każdej czynności związanej z użyciem lub podglądem zachowanego w nim certyfikatu, w kilku krokach dokonuje jego sprawdzenia. Podstawową czynnością jest potwierdzenie faktu, że podpis cyfrowy organu certyfikacji widniejący przy certyfikacie został utworzony przez ten organ certyfikacji, którego własny certyfikat jest: (po pierwsze) obecny na liście dostępnych dla Menedżera certyfikatów organów certyfikacji i (po drugie) traktowany jako zaufany do wystawiania tego typu certyfikatu, który jest poddawany kontroli.
Jeżeli certyfikat organu certyfikacji nie jest obecny na liście Menedżera certyfikatów, łańcuch tego certyfikatu musi posiadać certyfikat wyższego poziomu organu certyfikacji, który jest obecny na liście i posiada odpowiedni poziom zaufania. Menedżer certyfikatów potwierdza również, że sprawdzany certyfikat jest w chwili obecnej traktowany jako zaufany w magazynie certyfikatów. Jeśli którakolwiek z tych kontroli nie powiedzie się, Menedżer certyfikatów zaznacza certyfikat jako niezweryfikowany i nie przystąpi do rozpoznawania zawartości, którą taki certyfikat poświadcza.
Certyfikat jednakże może pomyślnie przejść wszystkie testy i wciąż w niektórych przypadkach pozostać niewiarygodnym. Przykładowo, certyfikat może zostać unieważniony, ponieważ osoba trzecia uzyskała dostęp do klucza prywatnego pasującego do certyfikatu. Niewiarygodny certyfikat może umożliwiać niepowołanej osobie (lub witrynie WWW) podszywanie się pod prawowitego właściciela.
Jednym ze sposobów uniknięcia powyższej sytuacji byłoby sprawdzanie przy weryfikacji przez Menedżera certyfikatów wcześniej pobranej listy certyfikatów unieważnionych (ang. certificate revocation list (CRL)). However, those lists may be large and need to be updated frequently in order to remain current and thus useful.
Preferowanym sposobem uniknięcia sytuacji korzystania z unieważnionych certyfikatów jest użycie wyspecjalizowanych serwerów, które obsługują Protokół Weryfikacji Certyfikatu Online (ang. Online Certificate Status Protocol (OCSP)). Taki serwer jest w stanie udzielać odpowiedzi na zapytania przeglądarki o pojedyncze certyfikaty (więcej informacji w rozdziale Konfigurowanie OCSP poniżej).
Serwer, zwany serwerem potwierdzającym, odbiera uaktualnione listy CRL okresowo z serwerów tych organów certyfikacji, które wydały weryfikowane certyfikaty. Istnieje możliwość takiej konfiguracji Menedżera certyfikatów, żeby wysyłał zapytanie o status certyfikatu do serwera potwierdzającego i oczekiwał następnie na potwierdzenie statusu ważności certyfikatu.
Ustawienia kontrolujące OCSP stanowią część preferencji dotyczących certyfikatów. Aby je zobaczyć, należy:
Więcej informacji o dostępnych opcjach OCSP można znaleźć w rozdziale Prywatność i zabezpieczenia - Certyfikaty, OCSP.