مرجع صدور گواهی ریشه برون خط

این مقاله به هیچ منبع و مرجعی استناد نمی‌کند. لطفاً با افزودن یادکرد به منابع قابل اعتماد برطبق اصول تأییدپذیری و شیوه‌نامهٔ ارجاع به منابع، به بهبود این مقاله کمک کنید. مطالب بدون منبع را می‌توان به چالش کشید و حذف کرد. یافتن منابع: "مرجع صدور گواهی ریشه برون خط" – اخبار · روزنامه‌ها · کتاب‌ها · آکادمیک · جی‌استور (چگونگی و زمان حذف پیام این الگو را بدانید)

مرجع صدور گواهی ریشه آفلاین یک مرجع صدور گواهی است (همانطور که در استاندارد X.509 و RFC 5280 تعریف شده است ) که از دسترسی به شبکه جدا شده است و غالباً در حالت خاموش نگه داشته می شود.

در یک زیرساخت کلید عمومی ، زنجیره ای از مراجع معتبر از مرجع صدور گواهی ریشه (root CA) شروع می شود. پس از نصب CA ریشه ای و ایجاد گواهی ریشه آن ، اقدام بعدی که توسط مدیر CA ریشه انجام می شود ، صدور گواهی هایی است که اجازه می دهد CA های میانی (یا فرعی) مجاز باشند. این امکان صدور ، امکان توزیع و ابطال گواهی های دیجیتالی را بدون دخالت مستقیم CA ریشه فراهم می کند.

از آنجا که لو رفتن یک CA ریشه منجر به عواقب بسیار بزرگی می شود (حتی ممکن است نیاز به صدور مجدد تمام گواهی های صادر شده در زیرساخت کلید عمومی ( PKI ) بشود) ، همه CA های ریشه باید از دسترسی غیرمجاز در امان بمانند. یک روش معمول برای اطمینان از امنیت و یکپارچگی یک CA ریشه ، نگه داشتن آن در حالت آفلاین است. فقط در صورت نیاز به کارهای خاص و نادر ، به صورت آنلاین وارد عمل می شود ، که معمولاً محدود به صدور اولیه یا صدور مجدد مجوزهای فعالیت CA های میانی است.

یک اشکال در عملیات آفلاین این است که میزبانی از لیست ابطال مجوز توسط CA ریشه امکان پذیر نیست (زیرا قادر به پاسخگویی به درخواست های ابطال مجوز(CRL) از طریق پروتکل هایی مانند HTTP ، LDAP یا OCSP نیست ). با این وجود ، می توان عملکرد اعتبار سنجی گواهینامه را به یک مرجع اعتبار سنجی اختصاصی مجاز توسط CA ریشه آفلاین منتقل کرد.

برای درک بهتر اینکه چگونه CA ریشه آفلاین می تواند امنیت و یکپارچگی زیرساخت کلید عمومی ( PKI )را تا حد زیادی بهبود بخشد ، مهم است که بدانیم یک لیست ابطال مجوز (CRL ) مختص به همان CA است که گواهی نامه های موجود در لیست را صادر می کند. بنابراین ، هر CA (ریشه یا میانی) فقط مسئول پیگیری ابطال گواهی هایی است که خودش به تنهایی صادر کرده است.

سناریویی را در نظر بگیرید که CA ریشه به سه CA میانی گواهی می دهد: A ، B و C.

• CA ریشه در کل سه گواهینامه صادر کرده است.

CA های میانی تازه ایجاد شده سپس گواهینامه های خود را صادر می کنند:

• CA میانی "A" تعداد 10،000 گواهینامه صادر می کند
• CA میانی "B" تعداد 20،000 گواهینامه صادر می کند
• CA میانی "C" تعداد 30،000 گواهینامه صادر می کند

اگر هر CA میانی ای همه صدور گواهینامه های مربوط به خودش را لغو کند ، حداکثر اندازه لیست ابطال مجوز ( CRL )برای هر CA میانی به صورت زیر می باشد:

• CA میانی "A": تعداد 10،000 ورودی CRL
• CA میانی "B": تعداد 20،000 ورودی CRL
• CA میانی "C": تعداد 30،000 ورودی CRL

با این حال ، از آنجا که CA ریشه تنها سه گواهی (به هر یک از CA های میانی) صادر کرده است ، حداکثر اندازه CRL آن به صورت زیر است:

• Root CA: تعداد 3 ورودی CRL

بنابراین ، بار کلی نگهداری و میزبانی از لیست ابطال مجوز (CRL ) اختصاصی برای ریشه CA و همچنین بار نگه داشتن یک مرجع اعتبار سنجی مرتبط ، با استفاده از CA های میانی حداقل می شود.

همچنین ببینید[ویرایش]

• X.509
• سرور صدور گواهی
• گواهی اعتبار سنجی تمدید شده
• مرجع میانی صدور گواهی
• مرجع اعتبار سنجی
• مراسم کلیدی
• پروتکل وضعیت آنلاین گواهی
• لیست ابطال مجوز
• گواهی خود امضا شده
• وب مبتنی بر اعتماد

منابع[ویرایش]

•  مشارکت‌کنندگان ویکی‌پدیا. «Offline root certificate authority». در دانشنامهٔ ویکی‌پدیای انگلیسی، بازبینی‌شده در ۳۰ دسامبر ۲۰۲۳.