Классы сертификатов

В Internet Explorer используется два вида сертификатов: личные сертификаты и сертификаты Web-узла. Личный сертификат используется для подтверждения личности пользователя, обратившегося на Web-узел, требующий сертификата. Сертификат Web-узла подтверждает подлинность Web-узла тем клиентам, которые обращаются к нему за сервисом.

Личные сертификаты относятся к разным уровням. Для получения сертификата низшего уровня требуется минимальная проверка владельца публичного ключа.

При выдаче сертификата высшего уровня проверяются не только личные данные владельца, но и его кредитоспособность. В этом случае сертификат может выступать аналогом кредитной карты, подтверждающим кредитоспособность при сделках в Web.

Для получения личного сертификата пользователь обязан внести плату, которая тем больше, чем выше уровень сертификата.

Подлинность сертификата подтверждается подписью сертификационного центра, выдавшего сертификат.

Корневой сертификат — это так называемый самоподписной сертификат некоторого центра сертификации. Он называется корневым, поскольку выше него нет инстанции, которая могла бы удостоверить его подлинность. В браузере (например, в Internet Explorer) уже предустановлены корневые сертификаты известных центров сертификации, например такого, как Verisign. Корневой сертификат содержит публичный ключ и информацию о его владельце. Когда вы получаете личный сертификат вашего корреспондента, заверенный подписью Verisign, вы можете убедиться в его подлинности и сохранить его на своем компьютере. Во вновь полученном сертификате находится публичный ключ данного корреспондента, поэтому когда вы получите письмо (или файл, содержащий программу), подписанное этим корреспондентом, то, используя его публичный ключ, вы сможете убедиться в подлинности его подписи. Система сделает это сама и выдаст вам сообщение, что данному корреспонденту (Web-узлу) можно доверять.

Система сертификации обычно имеет многоуровневый характер (рис. 4). 

При обращении на защищенный Web-узел пользователь Internet Explorer получит уведомление о том, что соединение является безопасным и передаваемые пользователем данные не будут доступны третьим лицам (рис. 5).

Система информирует пользователя, что Web-узел имеет действительный сертификат и предоставляемая пользователем информация (например, номер кредитной карты) зашифрована и не может быть прочитана третьими лицами. При входе на защищенный Web-узел Internet Explorer в строке состояния отображает значок закрытого замка.

Чтобы самому посылать зашифрованные или подписанные цифровой подписью сообщения, пользователь должен получить личный сертификат и настроить Internet Explorer на работу с ним.

Процедура получения личного сертификата

Существует несколько категорий надежности сертификатов, которые выдаются независимыми центрами сертификации. Сертификаты выдаются теми же издателями сертификатов. Чтобы получить сертификат, необходимо зарегистрироваться у выбранного издателя сертификатов. Для получения личного сертификата нужно обратиться на Web-сервер издателя сертификатов, сообщить о себе данные, необходимые для получения конкретного сертификата, и выбрать длину закрытого ключа. Перед отправкой формы ваш браузер сгенерирует пару ключей — публичный (открытый) и частный (закрытый) — и внесет их в защищенную паролем базу данных. Закрытый ключ не должен быть известен никому, в том числе и сертификационному центру. Открытый ключ, напротив, отсылается вместе с другими данными в сертификационный центр для включения его в сертификат.  После получения оплаты сертификационный центр выпускает сертификат и указывает URL, откуда его можно скачать. После получения сертификата браузер пользователя автоматически запускает процедуру установки.