Инфраструктуры открытых ключей ( PKI ) представляет собой набор ролей, политик, аппаратные средства, программное обеспечение и процедуры , необходимых для создания, управления, распределения, использование, хранение и отзывать цифровые сертификаты и управлять шифрование с открытым ключом . Цель PKI - облегчить безопасную электронную передачу информации для ряда сетевых операций, таких как электронная коммерция, интернет-банкинг и конфиденциальная электронная почта. Это требуется для действий, когда простые пароли являются неадекватным методом аутентификации и требуются более строгие доказательства для подтверждения личности сторон, участвующих в обмене данными, и для проверки передаваемой информации.
В криптографии PKI - это механизм, который связывает открытые ключи с соответствующими идентификаторами объектов (например, людей и организаций). Привязка устанавливается в процессе регистрации и выдачи сертификатов в центре сертификации (CA). В зависимости от уровня гарантии привязки это может выполняться автоматизированным процессом или под контролем человека. Когда это делается по сети, это требует использования безопасного протокола регистрации сертификатов или управления сертификатами, такого как CMP .
Роль PKI, которая может быть делегирована CA для обеспечения действительной и правильной регистрации, называется органом регистрации (RA). По сути, RA отвечает за прием запросов на цифровые сертификаты и аутентификацию объекта, отправляющего запрос. [1] RFC 3647 Инженерной группы Интернета определяет RA как «объект, который отвечает за одну или несколько из следующих функций: идентификация и аутентификация соискателей сертификатов, утверждение или отклонение заявок на сертификаты, инициирование отзыва или приостановки сертификата. при определенных обстоятельствах обработка запросов подписчиков об отзыве или приостановке их сертификатов, а также утверждение или отклонение запросов подписчиков на обновление или смену ключей для своих сертификатов. Однако RA не подписывают и не выдают сертификаты (т. е. RA делегируются определенные задачи на от имени ЦС) ". [2] Хотя Microsoft могла называть подчиненный CA RA, [3] это неверно в соответствии со стандартами PKI X.509. RA не обладают полномочиями подписи ЦС и управляют только проверкой и предоставлением сертификатов. Таким образом, в случае Microsoft PKI функциональность RA предоставляется либо веб-сайтом служб сертификации Microsoft, либо через службы сертификации Active Directory, которые обеспечивают соблюдение Microsoft Enterprise CA и политики сертификатов с помощью шаблонов сертификатов и управляют регистрацией сертификатов (ручная или автоматическая регистрация). В случае автономных центров сертификации Microsoft функция RA не существует, поскольку все процедуры, управляющие этим центром сертификации, основаны на процедуре администрирования и доступа, связанной с системой, в которой размещен этот центр сертификации, и самим центром сертификации, а не с Active Directory. Большинство коммерческих решений PKI сторонних производителей предлагают автономный компонент RA.
Объект должен быть однозначно идентифицируемым в каждом домене CA на основе информации об этом объекте. Сторонний центр проверки (VA) может предоставить информацию об этом объекте от имени CA.
Стандарт X.509 определяет наиболее часто используемый формат сертификатов открытых ключей . [4]
Возможности
PKI предоставляет «услуги доверия» - проще говоря, доверяя действиям или результатам объектов, будь то люди или компьютеры. Цели службы доверия учитывают одну или несколько из следующих возможностей: конфиденциальность, целостность и аутентичность (CIA).
Конфиденциальность: гарантия того, что ни один объект не сможет злонамеренно или непреднамеренно просмотреть полезную нагрузку в открытом виде. Данные зашифрованы, чтобы сделать их секретными, так что даже если они были прочитаны, они выглядели как тарабарщина. Возможно, наиболее распространенное использование PKI для целей конфиденциальности - это безопасность транспортного уровня ( TLS ). TLS - это возможность, лежащая в основе безопасности данных при передаче, то есть во время передачи. Классическим примером TLS для обеспечения конфиденциальности является использование интернет-браузера для входа в службу, размещенную на веб-сайте в Интернете, путем ввода пароля.
Целостность: гарантия того, что если объект хоть немного изменил (подделал) передаваемые данные, то это было бы очевидно, поскольку его целостность была бы нарушена. Часто не имеет первостепенного значения предотвратить нарушение целостности (защита от несанкционированного доступа), однако крайне важно, чтобы в случае нарушения целостности имелось четкое свидетельство того, что это было сделано (очевидное вмешательство).
Подлинность: уверенность в том, что вы уверены в том, к чему вы подключаетесь, или подтверждаете свою легитимность при подключении к защищенной службе. Первый называется аутентификацией на стороне сервера - обычно используется при аутентификации на веб-сервере с использованием пароля. Последнее называется аутентификацией на стороне клиента - иногда используется при аутентификации с использованием смарт-карты (на которой размещается цифровой сертификат и закрытый ключ).
Дизайн
Криптография с открытым ключом - это криптографический метод, который позволяет объектам безопасно обмениваться данными в незащищенной общедоступной сети и надежно проверять идентичность объекта с помощью цифровых подписей . [5]
Инфраструктура открытых ключей (PKI) - это система для создания, хранения и распространения цифровых сертификатов, которые используются для проверки принадлежности конкретного открытого ключа определенной сущности. PKI создает цифровые сертификаты, которые сопоставляют открытые ключи с сущностями, надежно хранят эти сертификаты в центральном репозитории и при необходимости отзывают их. [6] [7] [8]
- Центр сертификации (ЦС), который хранит, выдает и подписывает цифровые сертификаты;
- Орган регистрации (RA), который проверяет идентичность объектов, запрашивающих их цифровые сертификаты для хранения в CA;
- Центральный каталог -ie, безопасное место , в котором ключи хранятся и индексируются;
- Система управления сертификатами, управляющая такими вещами, как доступ к сохраненным сертификатам или доставка сертификатов, которые будут выпущены;
- Политика сертификат с указанием требований ПКИ в отношении его процедуры. Его цель - позволить посторонним проанализировать надежность PKI.
Методы сертификации
Вообще говоря, традиционно существует три подхода к получению такого доверия: центры сертификации (CA), сеть доверия (WoT) и простая инфраструктура открытых ключей (SPKI). [ необходима цитата ]
Центры сертификации
Основная роль ЦС - поставить цифровую подпись и опубликовать открытый ключ, привязанный к данному пользователю. Это делается с использованием собственного закрытого ключа CA, так что доверие к пользовательскому ключу зависит от доверия к достоверности ключа CA. Когда CA является третьей стороной, отдельной от пользователя и системы, тогда он называется центром регистрации (RA), который может быть отделен от CA, а может и не быть. [11] Привязка ключа к пользователю устанавливается в зависимости от уровня гарантии, которую имеет привязка, с помощью программного обеспечения или под контролем человека.
Термин доверенная третья сторона (TTP) также может использоваться для центра сертификации (CA). Более того, PKI часто используется как синоним реализации CA. [12]
В этой модели доверительных отношений ЦС является доверенной третьей стороной, которой доверяет как субъект (владелец) сертификата, так и сторона, полагающаяся на сертификат.
Согласно отчету NetCraft от 2015 года [13] отраслевой стандарт для мониторинга активных сертификатов безопасности транспортного уровня (TLS) гласит: «Хотя глобальная экосистема [TLS] является конкурентоспособной, в ней доминируют несколько основных центров сертификации - три центра сертификации. ( Symantec , Sectigo , GoDaddy ) составляют три четверти всех выпущенных сертификатов [TLS] на общедоступных веб-серверах. Первое место занимает Symantec (или VeriSign до того, как он был приобретен Symantec) с момента [нашего] исследования. начала, и в настоящее время на него приходится чуть менее трети всех сертификатов. Чтобы проиллюстрировать влияние различных методологий, среди миллиона самых загруженных сайтов Symantec выпустила 44% действующих и используемых доверенных сертификатов, что значительно больше, чем ее общая доля на рынке ».
Из-за серьезных проблем в управлении выпуском сертификатов все основные игроки постепенно перестали доверять сертификатам, выпущенным Symantec, начиная с 2017 года. [14] [15] [16]
Временные сертификаты и единый вход
Этот подход включает в себя сервер, который действует как автономный центр сертификации в системе единого входа . Сервер единой регистрации выдает цифровые сертификаты клиентской системе, но никогда не сохраняет их. Пользователи могут выполнять программы и т. Д. С помощью временного сертификата. Такое разнообразие решений часто встречается с сертификатами на основе X.509 . [17]
С сентября 2020 года срок действия сертификата TLS снижен до 13 месяцев.
Сеть доверия
Альтернативный подход к проблеме публичной аутентификации информации с открытым ключом - это сеть доверия, которая использует самоподписанные сертификаты и сторонние подтверждения этих сертификатов. Единичный термин «сеть доверия» не подразумевает существование единой сети доверия или общей точки доверия, а, скорее, одной из любого числа потенциально непересекающихся «сетей доверия». Примерами реализации этого подхода являются PGP (Pretty Good Privacy) и GnuPG (реализация OpenPGP , стандартизованной спецификации PGP). Поскольку PGP и его реализации позволяют использовать цифровые подписи электронной почты для самостоятельной публикации информации открытого ключа, относительно легко реализовать собственную сеть доверия.
Одно из преимуществ сети доверия, такой как PGP , заключается в том, что она может взаимодействовать с PKI CA, полностью доверенной всеми сторонами в домене (например, внутренним CA в компании), который готов гарантировать сертификаты, поскольку надежный представитель. Если «сеть доверия» является полностью доверенной, то из-за природы сети доверия доверие к одному сертификату обеспечивает доверие ко всем сертификатам в этой сети. PKI настолько ценна, насколько стандарты и методы, которые контролируют выпуск сертификатов, и включение PGP или лично созданной сети доверия может значительно снизить надежность реализации PKI на этом предприятии или в домене. [18]
Концепция сети доверия была впервые предложена создателем PGP Филом Циммерманном в 1992 году в руководстве для PGP версии 2.0:
Со временем вы будете накапливать ключи от других людей, которых, возможно, захотите назначить доверенными посредниками. Все остальные выберут своих доверенных представителей. И каждый будет постепенно накапливать и распространять со своим ключом коллекцию удостоверяющих подписей от других людей, ожидая, что любой, кто ее получит, будет доверять хотя бы одной или двум подписям. Это вызовет появление децентрализованной отказоустойчивой сети доверия для всех открытых ключей.
Простая инфраструктура открытого ключа
Другой альтернативой, не имеющей отношения к открытой аутентификации информации с открытым ключом, является простая инфраструктура открытых ключей (SPKI), которая выросла из трех независимых усилий по преодолению сложностей X.509 и сети доверия PGP . SPKI не связывает пользователей с людьми, поскольку ключ - это то, чему доверяют, а не человек. SPKI не использует никакого понятия доверия, поскольку проверяющий также является эмитентом. В терминологии SPKI это называется «циклом авторизации», где авторизация является неотъемлемой частью его конструкции. [ необходима цитата ] Этот тип PKI особенно полезен для интеграции PKI, которая не полагается на третьи стороны для авторизации сертификатов, информации о сертификатах и т. д .; Хорошим примером этого является сеть с воздушным зазором в офисе.
Децентрализованная PKI
Децентрализованные идентификаторы (DID) устраняют зависимость от централизованных реестров для идентификаторов, а также от централизованных центров сертификации для управления ключами, что является стандартом в иерархической PKI. В случаях, когда реестр DID является распределенным реестром , каждая организация может выступать в качестве своего собственного корневого органа. Эта архитектура называется децентрализованной PKI (DPKI). [19] [20]
PKI на основе блокчейна
Новым подходом к PKI является использование технологии блокчейн, обычно связанной с современной криптовалютой . [21] [22] Поскольку технология блокчейн направлена на обеспечение распределенного и неизменяемого реестра информации, она обладает качествами, которые считаются очень подходящими для хранения открытых ключей и управления ими. Некоторые криптовалюты поддерживают хранение различных типов открытых ключей ( SSH , GPG , RFC 2230 и т. Д.) И предоставляют программное обеспечение с открытым исходным кодом, которое напрямую поддерживает PKI для серверов OpenSSH . [ необходима цитата ] Хотя технология блокчейн может приблизить доказательство работы, часто подкрепляя уверенность в доверии, которое полагающиеся стороны имеют в PKI, остаются такие проблемы, как административное соответствие политике, операционная безопасность и качество реализации программного обеспечения. Парадигма центра сертификации имеет эти проблемы независимо от используемых криптографических методов и алгоритмов, и PKI, которая стремится наделить сертификаты надежными свойствами, также должна решать эти проблемы. [ необходима цитата ]
История
Разработка PKI произошла в начале 1970-х годов в британском разведывательном агентстве GCHQ , где Джеймс Эллис , Клиффорд Кокс и другие сделали важные открытия, связанные с алгоритмами шифрования и распределением ключей. [23] Поскольку разработки в GCHQ строго засекречены, результаты этой работы хранились в секрете и не признавались публично до середины 1990-х годов.
Публичное раскрытие алгоритмов безопасного обмена ключами и асимметричных ключей в 1976 году Диффи , Хеллманом , Ривестом , Шамиром и Адлеманом полностью изменило безопасную связь. С дальнейшим развитием высокоскоростных цифровых электронных коммуникаций ( Интернет и его предшественники) стала очевидной необходимость в способах безопасного общения пользователей друг с другом и, как дальнейшее следствие этого, в способах, которыми пользователи могли бы общаться друг с другом. уверен, с кем они на самом деле общались.
Были изобретены и проанализированы разнообразные криптографические протоколы, в которых можно было эффективно использовать новые криптографические примитивы . С изобретением Всемирной паутины и ее быстрым распространением потребность в аутентификации и безопасном обмене данными стала еще более острой. Одних коммерческих причин (например, электронной коммерции , онлайн-доступа к частным базам данных из веб-браузеров ) было достаточно. Тахер Эльгамал и другие сотрудники Netscape разработали протокол SSL (« https » в веб- адресах ); он включал установление ключа, аутентификацию сервера (до v3, только одностороннюю) и так далее. Таким образом, была создана структура PKI для веб-пользователей / сайтов, желающих безопасного обмена данными.
Продавцы и предприниматели увидели возможность большого рынка, основали компании (или новые проекты в существующих компаниях) и начали агитировать за юридическое признание и защиту от ответственности. Американская ассоциация адвокатов технологии Проект опубликовал обширный анализ некоторых предсказуемых правовых аспектов деятельности ИПК (см принципы ABA цифровой подписи ), и вскоре после этого, несколько американских государств ( Юта является первым в 1995 году) и в других юрисдикциях по всему миру стали принимать законы и постановления. Группы потребителей подняли вопросы о соображениях конфиденциальности , доступа и ответственности, которые в одних юрисдикциях учитывались больше, чем в других.
Принятые законы и постановления различались, возникали технические и операционные проблемы при преобразовании схем PKI в успешную коммерческую эксплуатацию, и прогресс шел намного медленнее, чем предполагали пионеры.
К первым нескольким годам 21 века базовую криптографическую инженерию было явно нелегко правильно развернуть. Рабочие процедуры (ручные или автоматические) было нелегко правильно спроектировать (или даже если они так спроектированы, чтобы выполнить безупречно, как того требовала инженерия). Существовавших стандартов было недостаточно.
Поставщики PKI нашли рынок, но это не совсем тот рынок, который предполагалось в середине 1990-х годов, и он рос как медленнее, так и несколько иным образом, чем ожидалось. [24] PKI не решили некоторые проблемы, которые от них ожидали, и несколько крупных поставщиков вышли из бизнеса или были приобретены другими. PKI добилась наибольшего успеха при внедрении в государственных учреждениях; Самая крупная реализация PKI на сегодняшний день - инфраструктура PKI Агентства оборонных информационных систем (DISA) для программы Common Access Cards .
Использует
PKI того или иного типа и от любого из нескольких поставщиков имеют множество применений, включая предоставление открытых ключей и привязок к идентификаторам пользователей, которые используются для:
- Шифрование и / или отправитель аутентификация по электронной почте сообщений (например, с помощью OpenPGP или S / MIME );
- Шифрование и / или аутентификация документов (например, стандарты XML-подписи или XML-шифрования, если документы закодированы как XML );
- Аутентификация пользователей в приложениях (например, вход со смарт-картой , аутентификация клиента с помощью SSL / TLS ). Существует экспериментальное использование HTTP- аутентификации с цифровой подписью в проектах Enigform и mod_openpgp ;
- Загрузка протоколов защищенной связи, таких как обмен ключами в Интернете (IKE) и SSL / TLS . В обоих случаях первоначальная установка безопасного канала (« ассоциация безопасности ») использует методы с асимметричным ключом, т. Е. С открытым ключом, тогда как фактическая связь использует более быстрые методы с симметричным ключом, т. Е. Секретный ключ ;
- Мобильные подписи - это электронные подписи, которые создаются с помощью мобильного устройства и основываются на услугах подписи или сертификации в телекоммуникационной среде, не зависящей от местоположения; [25]
- Интернет вещей требует безопасного обмена данными между взаимно доверенными устройствами. Инфраструктура открытого ключа позволяет устройствам получать и обновлять сертификаты X509, которые используются для установления доверия между устройствами и шифрования связи с использованием TLS .
Реализации с открытым исходным кодом
- OpenSSL - это простейшая форма CA и инструмент для PKI. Это набор инструментов, разработанный на языке C, который включен во все основные дистрибутивы Linux и может использоваться как для создания собственного (простого) центра сертификации, так и для приложений с поддержкой PKI. ( Под лицензией Apache )
- EJBCA - это полнофункциональная реализация CA корпоративного уровня, разработанная на Java . Его можно использовать для настройки центра сертификации как для внутреннего использования, так и в качестве службы. ( Под лицензией LGPL )
- XiPKI, [26] ответчик CA и OCSP. С поддержкой SHA-3 , реализованной на Java . ( Под лицензией Apache )
- XCA - это графический интерфейс и база данных. XCA использует OpenSSL для основных операций PKI.
- DogTag - это полнофункциональный центр сертификации, разработанный и поддерживаемый в рамках проекта Fedora .
- CFSSL [27] [28] набор инструментов с открытым исходным кодом, разработанный CloudFlare для подписи, проверки и объединения сертификатов TLS. ( Лицензия BSD с двумя пунктами )
- Инструмент Vault [29] для безопасного управления секретами (включая сертификаты TLS), разработанный HashiCorp . ( Под лицензией Mozilla Public License 2.0 )
- Boulder, центр сертификации на основе ACME, написанный на Go . Boulder - это программа, на которой работает Let's Encrypt .
Критика
Некоторые утверждают, что покупка сертификатов для защиты веб-сайтов с помощью SSL / TLS и защиты программного обеспечения с помощью подписи кода является дорогостоящим предприятием для малого бизнеса. [30] Однако появление бесплатных альтернатив, таких как Let's Encrypt , изменило это. HTTP / 2 , последняя версия протокола HTTP, теоретически допускает незащищенные соединения; На практике крупные производители браузеров ясно дали понять, что они будут поддерживать этот протокол только через защищенное PKI соединение TLS . [31] Реализация HTTP / 2 в веб-браузере, включая Chrome , Firefox , Opera и Edge, поддерживает HTTP / 2 только через TLS с использованием расширения ALPN протокола TLS. Это будет означать, что для получения преимущества скорости HTTP / 2 владельцы веб-сайтов будут вынуждены покупать сертификаты SSL / TLS, контролируемые корпорациями.
В настоящее время большинство веб-браузеров поставляются с предварительно установленными промежуточными сертификатами, выпущенными и подписанными центром сертификации, открытыми ключами, сертифицированными так называемыми корневыми сертификатами . Это означает, что браузеры должны поддерживать большое количество различных поставщиков сертификатов, что увеличивает риск компрометации ключа. [ необходима цитата ]
Когда известно, что ключ скомпрометирован, его можно исправить, отозвав сертификат, но такой компромисс нелегко обнаружить и может стать серьезным нарушением безопасности. Браузеры должны выпускать исправление безопасности, чтобы отозвать промежуточные сертификаты, выпущенные скомпрометированным корневым центром сертификации. [32]
Смотрите также
- Криптографическая гибкость (крипто-гибкость)
- Протокол управления сертификатами (CMP)
- Управление сертификатами через CMS (CMC)
- Простой протокол регистрации сертификатов (SCEP)
- Регистрация через безопасный транспорт (EST)
- Автоматизированная среда управления сертификатами (ACME)
Рекомендации
- ^ «Обзор инфраструктур открытых ключей (PKI)» . Техотопия . Проверено 26 марта 2015 года .
- ^ «Политика сертификатов инфраструктуры открытых ключей Internet X.509 и концепция сертификации» . IETF . Проверено 26 августа 2020 .
- ^ «Инфраструктура открытых ключей» . MSDN . Проверено 26 марта 2015 года .
- ^ «Использование аутентификации на основе клиентского сертификата с NGINX в Ubuntu - SSLTrust» . SSLTrust . Проверено 13 июня 2019 .
- ^ Адамс, Карлайл; Ллойд, Стив (2003). Понимание PKI: концепции, стандарты и рекомендации по развертыванию . Эддисон-Уэсли Профессионал. С. 11–15. ISBN 978-0-672-32391-1.
- ^ Трчек, Денис (2006). Управление безопасностью и конфиденциальностью информационных систем . Бирхаузер. п. 69. ISBN. 978-3-540-28103-0.
- ^ а б Вакка, Джон Р. (2004). Инфраструктура открытых ключей: создание надежных приложений и веб-сервисов . CRC Press. п. 8. ISBN 978-0-8493-0822-2.
- ^ Вьега, Джон; и другие. (2002). Сетевая безопасность с OpenSSL . O'Reilly Media. С. 61–62. ISBN 978-0-596-00270-1.
- ^ МакКинли, Бартон (17 января 2001 г.). «Азбука PKI: расшифровка сложной задачи создания инфраструктуры открытого ключа» . Сетевой мир . Архивировано из оригинала на 29 мая 2012 года.
- ^ Аль-Джанаби, Суфьян Т. Фарадж; и другие. (2012). «Сочетание опосредованной криптографии и криптографии на основе личности для защиты электронной почты» . В Ариве, Эзенду; и другие. (ред.). Цифровое предприятие и информационные системы: Международная конференция, Deis, [...] Proceedings . Springer. С. 2–3. ISBN 9783642226021.
- ^ "Майк Мейерс CompTIA Security + Certification Passport", TJ Samuelle, p. 137.
- ^ Генри, Уильям (4 марта 2016 г.). «Надежная сторонняя служба» .
- ^ http://news.netcraft.com/archives/2015/05/13/counting-ssl-certificates.html
- ^ «CA: проблемы Symantec» . Mozilla Wiki . Проверено 10 января 2020 года .
- ^ «План Chrome не доверять сертификатам Symantec» . Блог по безопасности Google . Проверено 10 января 2020 года .
- ^ «JDK-8215012: Примечание к выпуску: не доверяйте сертификатам сервера TLS, закрепленным корневыми центрами сертификации Symantec» . База данных ошибок Java . Проверено 10 января 2020 года .
- ^ Технология единого входа для предприятий SAP: что говорит SAP? «Архивная копия» . Архивировано из оригинала на 2011-07-16 . Проверено 25 мая 2010 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ Эд Герк, Обзор систем сертификации: x.509, CA, PGP и SKIP, в The Black Hat Briefings '99, http://www.securitytechnet.com/resource/rsc-center/presentation/black/vegas99/certover .pdf и http://mcwg.org/mcg-mirror/cert.htm. Архивировано 5 сентября 2008 г. на Wayback Machine.
- ^ «Децентрализованные идентификаторы (DID)» . Консорциум World Wide Web . 9 декабря 2019. Архивировано из оригинала 14 мая 2020 года . Проверено 16 июня 2020 .
- ^ «Децентрализованная инфраструктура открытых ключей» (PDF) . weboftrust.info . 23 декабря 2015 . Проверено 23 июня 2020 .
- ^ Аллен, Кристофер (ноябрь 2015 г.). «Децентрализованная инфраструктура открытых ключей» (PDF) . Перезагрузка семинара по проектированию сети доверия .
- ^ Хуанг, Ясин (14 мая 2019 г.). «Децентрализованная инфраструктура открытых ключей (DPKI): что это такое и почему это важно?» . Хакерский полдень . Проверено 22 мая 2019 .
- ^ Эллис, Джеймс Х. (январь 1970 г.). «Возможность безопасного несекретного цифрового шифрования» (PDF) . Архивировано из оригинального (PDF) 30 октября 2014 года.
- ↑ Стивен Уилсон, декабрь 2005 г., «Важность PKI сегодня». Архивировано 22ноября 2010 г.в Wayback Machine , China Communications , проверено 13декабря 2010 г.
- ^ Марк Гассон, Мартин Мейнтс, Кевин Уорвик (2005), D3.2: Исследование PKI и биометрии , результат FIDIS (3) 2, июль 2005 г.
- ^ «xipki / xipki · GitHub» . Github.com . Проверено 17 октября 2016 .
- ^ Салливан, Ник (10 июля 2014 г.). «Представляем CFSSL - инструментарий PKI Cloudflare» . Блог CloudFlare . CloudFlare . Проверено 18 апреля 2018 года .
- ^ «cloudflare / cfssl · GitHub» . Github.com . Проверено 18 апреля 2018 года .
- ^ "hashicorp / vault · GitHub" . Github.com . Проверено 18 апреля 2018 года .
- ^ «Следует ли нам отказываться от цифровых сертификатов или научиться их эффективно использовать?» . Forbes .
- ^ «Часто задаваемые вопросы по HTTP / 2» . HTTP / 2 wiki - через Github.
- ^ «Поддельные цифровые сертификаты могут позволить спуфинг» . Рекомендации Microsoft по безопасности . Microsoft. 23 марта 2011 . Проверено 24 марта 2011 .
Внешние ссылки
- Тенденции рыночной доли центров сертификации SSL (W3Techs)