در دنیای امروز که تبادل اطلاعات دیجیتال به بخشی جدانشدنی از زندگی ما تبدیل شده، اعتماد به صحت و امنیت ارتباطات آنلاین اهمیت بسیاری پیدا کرده است. اما چطور مطمئن می‌شویم که وب‌سایتی که بازدید می‌کنیم یا سرویسی که به آن متصل می‌شویم، واقعاً همان چیزی است که ادعا می‌کند؟ اینجاست که مرجع صدور گواهی یا Certificate Authority (CA) وارد عمل می‌شود و نقش مهمی در ایجاد اعتماد دیجیتال ایفا می‌کند.

مرجع صدور گواهی (CA) چیست؟

Certificate Authority یا مرجع صدور گواهی، نهادی معتبر و مورد اعتماد است که وظیفه دارد گواهی‌های دیجیتال را صادر، تأیید، مدیریت و در صورت لزوم باطل (Revoke) کند. این گواهی‌های دیجیتال نقش شناسنامه دیجیتال را دارند و برای تأیید هویت اشخاص، دستگاه‌ها، سرورها و سرویس‌ها در فضای دیجیتال به کار می‌روند. زمانی که شما وارد یک سایت HTTPS می‌شوید، مرورگر از طریق این گواهی‌ها تشخیص می‌دهد که آیا سایت واقعی و امن است یا خیر.

CA معمولاً بخشی از زیرساخت کلید عمومی (PKI) است و با استفاده از کلیدهای رمزنگاری و امضای دیجیتال، هویت صاحب کلید عمومی را تضمین می‌کند. وقتی یک سایت یا سرویس درخواست گواهی می‌دهد، CA هویت آن را بررسی می‌کند و در صورت تایید، یک گواهی امضا شده صادر می‌کند. کاربران یا مرورگرها نیز با بررسی امضای این گواهی به آن اعتماد می‌کنند. بنابراین CA نقش نقطه آغاز اعتماد در اینترنت ایفا می‌کند.

سیستم CA چگونه کار می‌کند؟

1. ایجاد درخواست گواهی (CSR):

وقتی یک سایت یا سازمان قصد دارد گواهی دیجیتال دریافت کند، ابتدا باید یک درخواست امضای گواهی (CSR) ایجاد کند. این فایل شامل کلید عمومی، نام دامنه، اطلاعات سازمان و دیگر جزئیات شناسایی است و معمولاً توسط سرور یا نرم‌افزار تولید می‌شود.

2. اعتبارسنجی هویت توسط CA:

پس از دریافت CSR، CA اطلاعات ارائه‌شده را بررسی و تأیید می‌کند. در این مرحله، CA ممکن است مالکیت دامنه، سوابق تجاری یا هویت فرد حقیقی یا حقوقی را راستی‌آزمایی کرده و از صحت اطلاعات اطمینان حاصل کند.

3. صدور گواهی دیجیتال:

اگر تأیید هویت با موفقیت انجام شود CA یک گواهی دیجیتال امضاشده (Signed Certificate) صادر می‌کند که شامل کلید عمومی و اطلاعات شناسایی دارنده گواهی است. این گواهی همچنین حاوی امضای دیجیتال CA و تاریخ اعتبار گواهی خواهد بود.

4. استفاده از گواهی در سیستم‌ها:

صاحبان گواهی می‌توانند این فایل را روی سرورها یا سرویس‌های خود نصب کنند. زمانی که کاربر به این سرویس متصل می‌شود، گواهی به مرورگر یا کلاینت ارسال می‌گردد و با بررسی امضای دیجیتال، اعتبار آن تأیید یا رد می‌شود.

5. بررسی اعتبار و لغو گواهی‌ها (CRL/OCSP):

در صورت انقضا، هک یا تغییر مالکیت ممکن است نیاز به باطل کردن (Revoke) گواهی باشد. CA این گواهی‌ها را با استفاده از فهرست لغو شده‌ها (CRL) یا سرویس‌های آنلاین مانند OCSP (Online Certificate Status Protocol) در اختیار کاربران قرار می‌دهد تا همواره بتوانند اعتبار گواهی‌های دریافتی را بررسی کنند.

انواع Certificate Authority

Intermediate Certificate Authority (Intermediate CA)

Intermediate CA بین Root CA و کاربران نهایی قرار دارد. این مرجع از Root CA گواهی می‌گیرد و سپس گواهی صادرشده را برای سرورها یا افراد امضا می‌کند. استفاده از Intermediate CA باعث افزایش امنیت زنجیره اعتماد می‌شود؛ زیرا در صورت هک شدن یک Intermediate، Root CA همچنان ایمن باقی می‌ماند.

Root Certificate Authority (Root CA)

Root CA یا مرجع صدور گواهی ریشه، در بالاترین سطح زنجیره اعتماد قرار دارد و گواهی‌های خودامضا (self-signed) صادر می‌کند. سایر CAها (مانند Intermediate CA) اعتبار خود را از Root CA دریافت می‌کنند. مرجع ریشه تنها در صورتی باید مورد اعتماد واقع شود که کل سیستم امنیتی براساس آن ساخته شده باشد؛ به همین دلیل، کلید خصوصی Root CA معمولاً شدیداً محافظت شده و کمتر مورد استفاده مستقیم قرار می‌گیرد.

Public CA (مرجع عمومی)

Public CAها سازمان‌هایی هستند که خدمات صدور گواهی را به همه کاربران عمومی و سازمان‌ها ارائه می‌دهند. این نوع CA در فهرست اعتماد (Trust Store) مرورگرها و سیستم‌عامل‌ها موجود است و به همین دلیل گواهی‌های صادرشده توسط آن‌ها فوراً مورد اعتماد مرورگرها قرار می‌گیرند. مثال‌هایی از Public CA عبارتند از: Let’s Encrypt، DigiCert، GlobalSign و Sectigo.

Private CA (مرجع خصوصی)

Private CA در داخل سازمان‌ها، شرکت‌ها یا نهادها پیاده‌سازی می‌شود و به‌صورت داخلی و سفارشی برای حفاظت از زیرساخت‌ها، کاربران داخلی یا سیستم‌های خاص مورد استفاده قرار می‌گیرد. Private CA گواهی‌هایی صادر می‌کند که در اینترنت به صورت پیش‌فرض معتبر نیستند و برای کارکرد صحیح، باید Trust Manual انجام شود. این نوع CA برای محیط‌های کنترل‌شده و بسته کاربرد فراوان دارد.

تفاوت بین CA عمومی و خصوصی

مرجع صدور گواهی عمومی (Public CA) نهادی است که به طور جهانی قابل اعتماد بوده و گواهی‌هایی صادر می‌کند که توسط مرورگرها و سیستم‌عامل‌ها به‌طور پیش‌فرض شناسایی و اعتماد می‌شوند. معمولاً این نوع CAها از طریق انتشار کلید عمومی خود در Root Storeهای رسمی شناخته می‌شوند و برای صدور گواهی HTTPS برای سایت‌ها، امضای دیجیتال و احراز هویت سازمانی در بستر عمومی کاربرد دارند. نمونه‌هایی از آن‌ها Let’s Encrypt و DigiCert هستند.

در مقابل CA خصوصی (Private CA) بیشتر در سازمان‌ها، دولت‌ها، و شبکه‌های داخلی (Intranet) راه‌اندازی می‌شود. این CAها مدیریت گواهی‌ها در سطح بومی یا مناطق کنترل‌شده را برعهده دارند که در آن‌ها نیازی به اعتماد عمومی نیست. گواهی‌هایی که توسط Private CA صادر می‌شوند، باید در دستگاه‌ها یا سیستم‌برای اجرا، به‌طور دستی به‌عنوان قابل اعتماد تعریف شوند (Manual Trust). تجربه کاربری و سرعت پیاده‌سازی آن پایین‌تر است اما در موارد خاص امنیتی، بسیار قابل سفارشی‌سازی و ایمن‌تر است.