Каковы все эти сертификаты SSL на новой установке Ubuntu?

Для использования SSL / TLS необходимо иметь Центр сертификации Корневые сертификаты. Вот как ваш компьютер может видеть, что сертификат SSL действительно действителен. Это ключ к безопасности вашей системы, SSL «сеть доверия» и защита учетных данных вашего банковского счета от гнусных участников.

Каждый может создать сертификат SSL и подписать его. Они могут сделать это для любого домена. Центры сертификации выполняют роль обеспечения того, чтобы сертификаты создавались только для доменов, принадлежащих запрашивающему объекту. Ваш компьютер не примет сертификат для google.com, если он не подписан доверенным центром сертификации, а не кем-то, генерирующим случайный сертификат.

Вы должны где-то начать свое доверие. Большинство людей позволяют своей операционной системе определять сертификаты, зная, что этими сертификатами управляют умные люди. В некоторых случаях вы можете отказаться от некоторых из этих сертификатов, но вряд ли это хорошая идея для вас прямо сейчас.

Центры сертификации должны следовать передовым методам, таким как холодное хранение своего корневого сертификата, который используется для создания промежуточных сертификатов. Это означает, что вероятность компрометации корневого сертификата уменьшена, в то же время позволяя системам / сотрудникам использовать промежуточный сертификат для создания сертификатов для клиентов и т. Д. Это важно, поскольку оно обеспечивает долгосрочное, установленное доверие к корневым сертификатам, Допуская практический способ предоставления сертификатов клиентов.

Аналогичный вопрос был задан: Какова цель / назначение пакета ca-certificates? . Кроме того, Let's Encrypt - это недавний пример того, как компания, использующая подписанный промежуточный сертификат, вскоре (апрель 2019 г.) полагается на свой «корневой сертификат ISRG» , который был принят многие основные операционные системы. После рассказа «Давайте шифровать» вы сможете лучше понять и получить практический пример.