A tanúsítvány a személyazonosításra alkalmas igazolvány digitális megfelelője. Sokféle személyazonosításra használható igazolvánnyal rendelkezünk – például útlevél, jogosítvány, személyi – és ezek mindegyike meghatározott szerepkörrel rendelkezik. Ehhez hasonlóan több tanúsítványunk is lehet, mindegyik egy adott célra használható.
Ez a fejezet a tanúsítványokkal kapcsolatos műveleteket ismerteti.
A fejezet témakörei: Weboldal biztonságának ellenőrzése Intelligens kártyák és egyéb adatvédelmi eszközök kezelése |
A jogosítvány vagy az útlevél bemutatásához hasonlóan a tanúsítvány bemutatása is a személyazonosítás egy formája, amelyet az interneten vagy más hálózaton használhatunk önmagunk azonosítására. Akárcsak a széles körben elfogadott személyazonosításra alkalmas iratokat, a tanúsítványokat is általában olyan szervezetek adják ki, amelyeknek erre elismerten joguk van. A tanúsítványokat kiadó szervezeteket hitelesítésszolgáltatóknak nevezik.
Kérhetünk tanúsítványt nyilvános hitelesítésszolgáltatóktól, a rendszergazdáktól vagy a szervezetünk hitelesítésszolgáltatójától, illetve webhelyektől, amelyek olyan különleges szolgáltatásokat nyújtanak, amelyek eléréséhez a név és jelszó megadásánál megbízhatóbb azonosítási módszerre van szükség.
A jogosítvány megszerzésének követelményei attól függnek, hogy milyen járművet akarunk vezetni. Ehhez hasonlóan a tanúsítvány megszerzésének követelményei is függenek attól, hogy mire akarjuk majd használni. Egyes esetekben a tanúsítvány megszerzéséhez csak be kell lépnünk egy webhelyre, meg kell adnunk néhány személyes adatot, és már le is tölthetjük a tanúsítványt a böngésző segítségével. Más esetekben bonyolult folyamatokon kell keresztülmennünk.
Akár már ma beszerezhetünk egy tanúsítványt, ha ellátogatunk egy hitelesítésszolgáltató honlapjára, és követjük a képernyőn megjelenő utasításokat. Néhány hitelesítésszolgáltató a Client Certificates című on-line dokumentumban van felsorolva.
Tanúsítványainkat az adatvédelmi eszközök tárolják. A böngésző rendelkezik egy beépített szoftveres adatvédelmi eszközzel. Az adatvédelmi eszköz hardver is lehet, például egy intelligens kártya.
A jogosítványhoz vagy az útlevélhez hasonlóan a tanúsítvány is fontos azonosító dokumentum, amellyel visszaélhetnek, ha rossz kezekbe kerül. Miután megkaptuk a személyazonosító tanúsítványunkat, két módon is megvédhetjük: biztonsági mentéssel és mesterjelszó beállításával.
Amikor először kapunk tanúsítványt, a program megkér, hogy készítsünk róla biztonsági mentést. Ha még nem rendelkezünk mesterjelszóval, most meg kell adnunk egyet.
A tanúsítványok biztonsági mentéséről és a mesterjelszó beállításáról többet tudhatunk meg a Saját tanúsítványok fejezetből.
Amikor egy weboldalt töltünk le a böngészővel, a böngészőablak jobb alsó sarkában a lakat ikon jelzi, hogy az oldalt titkosítva küldték-e el a kiszolgálóról.
![]() |
A lezárt lakat azt jelenti, hogy az oldalt titkosítva küldték át. | |
![]() |
A nyitott lakat azt jelenti, hogy az oldalt nem titkosítva küldték át. | |
![]() |
A törött lakat azt jelenti, hogy az oldal bizonyos elemei nem voltak titkosítva az adatátvitel idejére, bár a HTML-oldal nagy része titkosított volt. |
A weboldalak titkosítási állapotáról bővebb információt nyújt az Oldal adatai párbeszédpanel Biztonság panellapja, amelyet a lakat ikonra kattintva vagy a Nézet menü Oldal adatai menüparancsával érhetünk el.
Az Oldal adatai párbeszédpanel Biztonság panellapja kétféle információt közöl:
Fontos: a lakat ikon csak azt jelzi, hogy mi volt az oldal titkosítási állapota, amíg a számítógépünkre érkezett. Ha értesítést szeretnénk kapni arról, hogy titkosítás nélkül küldünk vagy fogadunk adatokat, válasszuk ki a megfelelő SSL-figyelmeztetési beállításokat. A részletekért lásd: Adatvédelmi és biztonsági beállítások – SSL.
A birtokunkban lévő tanúsítványokat a Tanúsítványkezelővel kezelhetjük. A tanúsítványokat a számítógépünk merevlemezén, intelligens kártyákon, illetve egyéb számítógéphez csatlakozó adatvédelmi eszközön tárolhatjuk.
A Tanúsítványkezelő megnyitásához:
A fejezet témakörei: Mások tanúsítványainak kezelése |
A Tanúsítványkezelő első megnyitásakor megfigyelhetjük, hogy a párbeszédpanel több panellapból áll. Az első panellap a Saját tanúsítványok. Ezen jelennek meg azok a tanúsítványok, amelyekkel önmagunkat azonosíthatjuk. A saját tanúsítványok az azokat kiadó szervezet neve alatt jelennek meg.
Ha valamilyen műveletet szeretnénk végezni egy vagy több tanúsítvánnyal, kattintsunk rá (a Control billentyű lenyomása mellett kattintsunk a további kiválasztandókra), majd kattintsunk a Megjelenítés, a Biztonsági mentés vagy a Törlés gombok valamelyikére. A gomb megnyomása után egy párbeszédpanel jelenik meg, amelyen a megfelelő művelet végrehajtható. Bármelyik párbeszédpanel használatához a Súgó gombot megnyomva kaphatunk segítséget.
A Saját tanúsítványok panellapon vannak olyan gombok is, amelyekhez nem kell kijelölnünk egy tanúsítványt sem. Ezek a következők:
Az intelligens kártyákon tárolt tanúsítványokról nem készíthető biztonsági mentés. Akár a néhány kiválasztott tanúsítványra a Biztonsági mentés, akár a Biztonsági mentés mindenről gombot használjuk, a biztonsági mentés nem fogja az intelligens kártyákon és egyéb külső adatvédelmi eszközökön tárol tanúsítványokat tárolni. Csak a beépített szoftveres adatvédelmi eszközön tárolt tanúsítványokról készíthető biztonsági mentés.
Ezekről a feladatokról többet tudhatunk meg a Saját tanúsítványok fejezetből.
Levél írásakor eldönthetjük, hogy kívánunk-e digitális aláírást mellékelni. A digitális aláírás segítségével a címzettek ellenőrizhetik, hogy a levél valóban tőlünk érkezett-e, és elküldése óta nem változtatták-e meg.
Valahányszor digitálisan aláírt üzenetet küldünk, saját titkosító tanúsítványunk automatikusan bekerül az üzenetbe. Ez a tanúsítvány lehetővé teszi, hogy levél címzettjei titkosított üzenetet küldjenek nekünk.
Mások tanúsítványa az egyik legegyszerűbb módon úgy szerezhető be, hogy megkérjük egy digitálisan aláírt üzenet küldésére. A Tanúsítványkezelő automatikusan tárolja a másoktól ilyen módon beérkezett tanúsítványokat.
A másokat azonosító tanúsítványok megtekintéséhez válasszuk a Tanúsítványkezelő Mások tanúsítványai panellapját. Az itt felsorolt, érvényes tanúsítvánnyal rendelkező személyeknek küldhetünk titkosított üzenetet. A tanúsítványok az azokat kiadó szervezetek neve alatt jelennek meg.
Ha valamilyen műveletet szeretnénk végezni egy vagy több tanúsítvánnyal, kattintsunk rá (a Control billentyű lenyomása mellett kattintsunk a további kiválasztandókra), majd kattintsunk a Megjelenítés vagy a Törlés gombok valamelyikére. A gomb megnyomása után egy párbeszédpanel jelenik meg, amelyen a megfelelő művelet végrehajtható. Bármelyik párbeszédpanel használatához a Súgó gombot megnyomva kaphatunk segítséget.
További részletekért olvassuk el a Mások tanúsítványai fejezetet.
Vannak olyan webhelyek, amelyek tanúsítvánnyal igazolják magukat. Ez az azonosítás az előtt szükséges, mielőtt a webhely titkosított adatot küldhetne a számítógépünkre (vagy fordítva), hogy senki ne olvashassa el az adatokat útközben.
Ha a webhely címének kezdete https://, akkor a webhely rendelkezik tanúsítvánnyal. Ha ilyen webhelyet keresünk fel, és a tanúsítványát olyan hitelesítésszolgáltató adta ki, amelyet a Tanúsítványkezelő nem ismer, vagy amelyben nem bízik meg, el kell döntenünk, hogy elfogadjuk-e a webhely tanúsítványát. Az új webhelytanúsítvány elfogadásakor a Tanúsítványkezelő hozzáadja azt a webhelytanúsítványok listájához.
Az összes webhelytanúsítvány megtekintéséhez válasszuk a Tanúsítványkezelő Webhelyek panellapját.
Ha valamilyen műveletet szeretnénk végezni egy vagy több tanúsítvánnyal, kattintsunk rá (a Control billentyű lenyomása mellett kattintsunk a további kiválasztandókra), majd kattintsunk a Megjelenítés, a Szerkesztés vagy a Törlés gombok valamelyikére. A gomb megnyomása után egy párbeszédpanel jelenik meg, amelyen a megfelelő művelet végrehajtható.
A Szerkesztés gomb segítségével megadhatjuk, hogy a jövőben a böngésző megbízzon-e a kijelölt webhelytanúsítványokban.
További részletekért olvassuk el a Webhelyek tanúsítványai fejezetet.
Akárcsak a széles körben elfogadott személyazonosításra alkalmas iratokat, a tanúsítványokat is általában olyan szervezetek adják ki, amelyeknek erre elismerten joguk van. A tanúsítványokat kiadó szervezeteket hitelesítésszolgáltatóknak nevezik. A hitelesítésszolgáltatót azonosító tanúsítványt CA-tanúsítványnak nevezik.
A Tanúsítványkezelő általában sok hitelesítésszolgáltató tanúsítványát tárolja. Ezek a CA-tanúsítványok lehetővé teszik, hogy a Tanúsítványkezelő az ezeknek megfelelő hitelesítésszolgáltatók által kiadott tanúsítványokat felismerje, és dolgozni tudjon velük. Ez nem jelenti azt, hogy az itt felsorolt hitelesítésszolgáltatók által kiadott tanúsítványok megbízhatóak is. A szükséges biztonsági szinttől függően a rendszergazdánk dönti el, hogy milyen tanúsítványokban bízik meg.
Az összes CA-tanúsítvány megtekintéséhez válasszuk a Tanúsítványkezelő Hitelesítésszolgáltatók panellapját.
Ha valamilyen műveletet szeretnénk végezni egy vagy több CA-tanúsítvánnyal, kattintsunk rá (a Control billentyű lenyomása mellett kattintsunk a további kiválasztandókra), majd kattintsunk a Megjelenítés, a Szerkesztés vagy a Törlés gombok valamelyikére. A gomb megnyomása után egy párbeszédpanel jelenik meg, amelyen a megfelelő művelet végrehajtható. Bármelyik párbeszédpanel használatához a Súgó gombot megnyomva kaphatunk segítséget.
A Szerkesztés gomb segítségével megtekinthetjük és megváltoztathatjuk minden egyes tanúsítvány megbízhatósági beállításait. A CA-tanúsítványok megbízhatósági beállításaival megadhatjuk, hogy egy adott hitelesítésszolgáltató által kiadott milyen típusú tanúsítványokban bízunk meg.
További tudnivalók: Hitelesítésszolgáltatók.
Az intelligens kártya körülbelül hitelkártya méretű, mikroprocesszort tartalmazó eszköz, amely képes titkosítással kapcsolatos adatok (pl. személyes kulcsok és tanúsítványok) tárolására és titkosítási műveletek végrehajtására.
Az intelligens kártya olvasásához a számítógéphez csatlakoztatott kártyaolvasóra (hardvereszköz), és a számítógépre telepített vezérlőprogramra van szükség.
Az intelligens kártya egyfajta adatvédelmi eszköz. Az adatvédelmi eszköz (vagy más néven token) olyan hardveres vagy szoftveres eszköz, amely kriptográfiai szolgáltatásokat nyújt, valamint személyes adatokat tárol. Használjuk az Eszközkezelőt, ha intelligens kártyákkal vagy más adatvédelmi eszközökkel kell dolgoznunk.
A fejezet témakörei: Adatvédelmi eszközök és modulok Adatvédelmi eszközök használata |
Az Eszközkezelő egy párbeszédpanelen megjeleníti az elérhető adatvédelmi eszközöket. Az Eszközkezelő segítségével az olyan adatvédelmi eszközök, például intelligens kártyák kezelhetőek, amelyek támogatják a PKCS #11 szabványt.
A PKCS #11 modul (néha adatvédelmi modulnak is hívják) hasonlóképpen vezérli az adatvédelmi eszközöket, mint az illesztőprogramok a nyomtatóhoz és a modemhez hasonló külső eszközöket. Ha intelligens kártyát használunk, telepítenünk kell a számítógépre az intelligens kártyához való PKCS #11 modult, és csatlakoztatnunk kell a kártyaleolvasót.
Alaphelyzetben az Eszközkezelő két belső PKCS #11 modult kezel, amelyek három adatvédelmi eszközt vezérelnek.
Az Eszközkezelő segítségével műveleteket hajthatunk végre az adatvédelmi eszközökön. Az Eszközkezelő előhívásához a következő lépések szükségesek:
Az Eszközkezelő megjeleníti az összes elérhető PKCS #11 modult, és a modul neve alatt az adott modul által kezelt adatvédelmi eszközt.
Egy adatvédelmi eszköz kiválasztása esetén a párbeszédpanel közepén megjelennek a hozzá tartozó információk, és a jobb oldalon bizonyos gombok aktívak lesznek. Például a szoftveres adatvédelmi eszköz kiválasztása esetén az alábbi műveleteket hajthatjuk végre:
Ezeket a műveleteket a legtöbb adatvédelmi eszközön végre lehet hajtani. A Builtin Object Tokenen és az általános adatvédelmi eszközön viszont ezek a műveletek nem hajthatók végre, mert ezeknek a különleges eszközöknek általában mindig rendelkezésre kell állniuk.
További tudnivalók: Eszközkezelő.
Az intelligens kártya vagy más külső adatvédelmi eszköz használata előtt telepítenünk kell a számítógépünkre a modul szoftverét, és ha szükséges, csatlakoztatnunk kell a megfelelő hardvereszközt. Kövessük a hardver gyártójának utasításait.
Miután a modult telepítettük a számítógépre, a következő lépésekkel tölthetjük be:
Az új modul ezután megjelenik a modulok listáján a megadott néven.
A PKCS #11 modul törléséhez jelöljük ki a nevét, és kattintsunk az Eltávolítás gombra.
A FIPS PUBS, azaz a Federal Information Processing Standards Publications (magyarul kb. Szövetségi Információfeldolgozási Szabványközlöny) 140-1 az Egyesült Államok kormányzati szabványa titkosítómodulok megvalósítására. Titkosítómodul alatt olyan hardverek és szoftverek értendők, amelyek adatokat képesek titkosítani vagy visszafejteni, illetve egyéb, titkosítással kapcsolatos műveleteket hajtanak végre (pl. digitális aláírások létrehozása és ellenőrzése). Az Egyesült Államok kormányzati szerveinek szállított termékek jó részének meg kell felelniük egy vagy több FIPS szabványnak.
A FIPS-mód engedélyezéséhez használjuk az Eszközkezelőt.
A FIPS-mód tiltásához kattintsunk a FIPS tiltása gombra.
Az SSL protokoll lehetővé teszi, hogy a számítógépünk más internetre kapcsolódó számítógéppel titkosított kommunikációt valósítson meg. Ez azt jelenti, hogy az információt az adatátvitel idejére úgy kódolják, hogy senki sem tudja értelmezni útközben. Az SSL-t arra is használják, hogy tanúsítványok segítségével számítógépeket azonosítsanak az interneten.
A TLS protokoll új szabvány, amely az SSL-re épül. A böngésző alapértelmezés szerint egyaránt kezeli az SSL-t és a TLS-t. Ez a legtöbb ember számára működő megoldás, hiszen így biztosítható, hogy a böngésző gyakorlatilag minden olyan internetes szoftverrel együttműködjön, amely az SSL vagy a TLS valamelyik verzióját támogatja.
Elképzelhető azonban, hogy bizonyos körülmények között a rendszergazda vagy más hozzáértő személy megváltoztatja az SSL-beállításokat, hogy különleges biztonsági igényeket kielégítsen, vagy bizonyos régebbi szoftvertermékek hibáitól megvédjen.
Csak akkor változtassuk meg a böngészőnk SSL-beállításait, ha pontosan tudjuk, hogy mit teszünk, illetve ha valaki más segít nekünk, és ő ért hozzá. Ha valamilyen okból meg kívánjuk változtatni ezeket a beállításokat, kövessük a következő lépéseket:
További tudnivalók: SSL-beállítások.
Ahogy a Saját tanúsítvány beszerzése fejezetben már kifejtettük, a tanúsítvány a személyazonosítás egy formája – hasonló például az útlevélhez –, amelyet az interneten vagy más hálózaton használhatunk önmagunk azonosítására. Abban is hasonlít az útlevélhez, hogy idővel lejár, vagy más okból érvénytelenné válik. Emiatt a böngészőprogramnak valamilyen módon meg kell győződnie arról, hogy egy adott tanúsítvány érvényes-e, és csak azután bízhat meg benne azonosítási célból.
Ez a fejezet leírja, hogy a Tanúsítványkezelő hogyan érvényesíti a tanúsítványokat, és hogyan befolyásolható ez a folyamat. A folyamat megértéséhez tisztában kell lennünk a nyilvános kulcsú titkosítás alapfogalmaival. Ha nem értünk a tanúsítványok használatához, kérdezzük meg a rendszergazdát, mielőtt megkísérelnénk megváltoztatni a böngészőnk tanúsítványérvényesítési beállításait.
A fejezet témakörei: |
A Tanúsítványkezelő által tárol tanúsítvány használatakor vagy megtekintésekor a program több lépésben ellenőrzi az érvényességet. A legelső lépés annak ellenőrzése, hogy a tanúsítványt digitálisan aláíró hitelesítésszolgáltató (1) benne van-e a Tanúsítványkezelő nyilvántartásában, és (2) megbízunk-e benne az ilyen típusú tanúsítványok kiadását illetően.
Ha a hitelesítésszolgáltató tanúsítványa nincs is meg, a tanúsítvány tanúsítványláncának tartalmaznia kell egy olyan felsőbb szintű hitelesítésszolgáltatót, amelynek megvan a tanúsítványa, és megbízunk benne. A Tanúsítványkezelő arról is meggyőződik, hogy az éppen vizsgált tanúsítvány az adott pillanatban megbízhatónak van-e jelölve a tanúsítványtárban. Ha a fenti ellenőrzési folyamatok bármelyike sikertelen eredménnyel zárul, a Tanúsítványkezelő ellenőrizetlenként jelöli meg a tanúsítványt, és azonosíthatatlannak tekinti annak tulajdonosát.
A tanúsítvány sikeresen átmehet ezeken az ellenőrző lépéseken, és mégis lehet, hogy gondok vannak vele. Például a tanúsítványt visszavonták, mert illetéktelen személy megszerezte a tanúsítvány személyes kulcsát. Az ellopott tanúsítvánnyal vissza lehet élni, az illetéktelen személy (vagy webhely) a tanúsítvány tulajdonosának adhatja ki magát.
A Tanúsítványkezelő úgy küzd ez ellen a veszély ellen, hogy az ellenőrzési folyamat részeként ellenőrzi a visszavont tanúsítványok listáját (CRL-t). Lásd: CRL-ek kezelése. Általában egy hivatkozásra kattintva lehet letölteni egy CRL-t. Ha rendelkezünk egy adott hitelesítésszolgáltató által közzétett visszavont tanúsítványok listájával, a Tanúsítványkezelő minden az adott hitelesítésszolgáltatótól származó tanúsítványt összevet ezzel a listával az ellenőrzési folyamat részeként.
A CRL-ek megbízhatósága a frissítésének gyakoriságától függ, ezen a kiszolgáló által végzett frissítéseket és az ügyfélprogram által végzett letöltés rendszerességét egyaránt értjük. Az Automatikus CRL-frissítés beállításai párbeszédpanelen megadhatjuk, hogy a visszavont tanúsítványok listája rendszeres időközönként frissüljön a kiszolgálón található változatnak megfelelően.
A másik módszer az ellopott tanúsítványok veszélyének kivédésére az OCSP protokollt támogató különleges kiszolgálók használata. Az ilyen kiszolgáló képes válaszolni az egyes tanúsítványok állapotával kapcsolatos lekérdezésekre (lásd: Az OCSP beállítása).
A kiszolgáló, amelyet OCSP-válaszolónak is neveznek, rendszeresen megkapja a visszavont tanúsítványok friss listáját attól a hitelesítésszolgáltatótól, amely kiadta az érvényesíteni kívánt tanúsítványt. A Tanúsítványkezelőt beállíthatjuk úgy, hogy tanúsítványállapot-lekérdezést küldjön az OCSP-válaszolónak, és az OCSP-válaszoló közölje, hogy a tanúsítvány érvényes-e.
A CRL-ek visszavont tanúsítványokat sorolnak fel. A hitelesítésszolgáltató visszavonhatja a tanúsítványt, ha azzal valami gond van. Ez hasonlít ahhoz, amikor a bank érvényteleníti a hitelkártyánkat, mert bejelentjük, hogy ellopták.
Ez a fejezet leírja, hogy hogyan importáljuk és kezeljük a visszavont tanúsítványok listáit.
A témáról Az érvényesítés működése fejezet ad háttérinformációkat.
A módosítható CRL-beállításokról lásd az Érvényesítés beállításai fejezetet.
A fejezet témakörei: |
A böngésző a rendelkezésére álló CRL-ek segítségével ellenőrzi a megfelelő hitelesítésszolgáltató által kiadott tanúsítvány érvényességét. Ha egy tanúsítvány visszavontként van nyilvántartva, a böngésző nem fogadja el az azonosság bizonyítékaként.
A hitelesítésszolgáltatók általában rendszeres időközönként közzéteszik a visszavont tanúsítványok listáját. Minden CRL a Következő frissítés mezőben tartalmaz egy dátumot, amely azt az időpontot jelzi, amikor a hitelesítésszolgáltató közzéteszi a CRL következő frissítését. Ha a Következő frissítés mezőben szereplő dátum korábbi, mint az aktuális dátum, célszerű letöltenünk a CRL legfrissebb változatát. A CRL-információk megtekintéséről és az automatikus CRL-frissítésről a CRL-ek megtekintése és kezelése fejezet szól.
A hitelesítésszolgáltatók kötelessége új CRL-t kiadni a következő frissítés idején. A naprakész CRL hiánya azonban önmagában nem érvényteleníti a tanúsítványt. Emiatt ha nem rendelkezünk naprakész CRL-lel, egy tanúsítványt akkor is érvényesnek tekinthetünk, ha a naprakész CRL-ben már visszavontként szerepel. Az automatikus CRL-frissítés segítségével elkerülhetjük ezt a helyzetet.
A hitelesítésszolgáltató által kiadott legfrissebb CRL-t importálhatjuk a böngészőbe. A CRL importálásához kövessük a következő lépéseket:
Az Importálás állapota párbeszédpanel jelenik meg.
Igen: az Automatikus CRL-frissítés beállításai párbeszédpanel jelenik meg. Ebben az esetben ugorjunk a 4. lépésre.
Nem: az Importálás állapota párbeszédpanel bezáródik. Ha meggondoljuk magunkat, és mégis szeretnénk engedélyezni az automatikus frissítéseket, olvassuk el a CRL-ek megtekintése és kezelése fejezetet.
A böngésző rendelkezésére álló CRL-eket megtekinthetjük és kezelhetjük az Érvényesítés beállításainál:
Jelöljünk ki egy CRL-t, és frissítsük vagy töröljük a megfelelő gombbal.
Az automatikus frissítés beállításaihoz jelöljük ki a CRL-t, majd kattintsunk a Beállítások gombra. Az Automatikus CRL-frissítés beállításai párbeszédpanel jelenik meg:
Az OCSP beállítása az Érvényesítés beállítópanelen végezhető el. Az Érvényesítés beállítópanele a következő lépésekkel érhető el:
A használható OCSP-beállításokról az OCSP fejezetben tudhatunk meg többet.
2002. június 18.
Copyright © 1994-2002 Netscape Communications Corporation