مصدر الشهادة (بالإنجليزية: Certificate Authority) هو الكيان الذي يصدر الشهادات الرقمية ليتم إستخدامها من قبل الأطراف الأخرى. وهي إحدى الأمثلة على الطرف الثالث الموثوق به.
تتميز مصادرالشهادات بتعدد البنية الأساسية للمفتاح العام(PKI). هنالك العديد من مصادر الشهادات التجارية و التي تقدم خدماتها مقابل دفع مبلغ من المال بينما يوجد بعض الحكومات والمعاهد تمتلك مصادر شهادات وتقدم خدماتها مجانا.
فهرس |
يصدر مصدرالشهادة شهادات رقمية تحتوي على المفتاح العام و هوية المالك. و تشهد هذه الشهادة على أن المفتاح العام المتضمن داخلها ينتمي للمالك أو المؤسسة أو الحاسب المركزي أو أي كيان منصوص عليه في الشهادة.
إلتزام مصدرالشهادة يكمن في تدقيق إعتماد طلب معين، و عليه فإن المستخدم والجهات المعتمدة يستطيعون الثقة بالمعلومات الموجودة في الشهادة.
في حال أن المستخدم يثق بمصدر الشهادة و بإمكانه التأكد من التوقيع الموجود عليها، فإنه يستطيع التأكد أيضا من أن المفتاح العام ينتمي حقا للمالك المذكور في الشهادة. إذا كان بالإمكان زعزعت الثقة بمصدر الشهادة، فإن سرية و أمان النظام بأكمله تكون قد فقدت.
على فرض أن مهاجم يدعى مالوري (لإستخدام مثال أليس و بوب)، يخطط للحصول على مصدر شهادة ليصدر شهادة مزيفة تربط أليس بمفتاح عام خاطئ، المفتاح العام المرتبط معروف لدى مالوري. فيما بعد إذا حصل بوب على هذا المفتاح العام الخاطئ وإستخدمه فإن سرية إتصالاته مع أليس تفضح من قبل مالوري، حيث ان مالوري يستطيع فك تشفير رسائل بوب أو أنه يخدع بوب عن طريق أن يجعله يقوم بإستقبال تواقيع مزورة من أليس.
المشكلة تكمن في التأكد من صحة الصلة بين البيانات وكيان ما عندما تقدم البيانات لمصدر الشهادة(ربما من خلال شبكة إليكترونية)، وتكمن أيضا عندما يتطلب إعتماد شخص أو شركة أو برنامج وجود شهادة. هذا هو سبب أن المصادر التجارية للشهادة عادة ما تستخدم خليط من تقنيات صحة الهوية. في بعض أنظمة المشاريع، تنال صيغ محلية مثل Kerberos على شهادة يمكن أن تستخدم من قبل أطراف خارجية معتمدة.
كاتب العدل مطلوب في بعض الحالات ليتعرف شخصيا على الطرف المراد التصديق على توقيعه، هذا معيار أعلى من أن يبلغه الكثير من مصادرالشهادات. إستنادا إلى خط نقابة المحاميين الأمريكية في إدارة صفقات الإنترنت فإن النقاط الأولية للقوانين الفدرالية و الدولية التي تشرع التوقيع الرقمي المعتمد في الولايات المتحدة الأمريكية تقود إلى "منع تعارض و انتهاك الأنظمة المحلية وتأكيد أن الكتابات الإلكترونية تحقق المتطلبات التقليدية المرتبطة مع الوثائق الورقية".
إضافة إلى ذلك فإن الإشارة الإلكترونية (E-Sign) والشيفرة الموحدة لعمل الصفقات الإلكترونية(UETA) تساعدان في تأكيد أن:
ينقسم المزودون لهذه الخدمة إلى قسمين الأول يعتمد الدفع مقابل الخدمة، والثاني يقدمها مجانا.
عالميا، عمل مصدر الشهادة ينقسم إلى مزودين وطنيين أو إقليميين يسيطرون على السوق المحلي. هذا بسبب أن كثير من إستخدامات الشهادات الرقمية، مثل التوقيع الرقمي القانوني، مرتبطة بالقانون المحلي والتشريعات ومخططات إعتماد مصادر الشهادات.
سوق شهادات طبقة المحفظة الآمنة (Secure Sockets Layer).
(تستخدم لضمان أمن التجارة الإلكترونية) يدعم عدد من الشركات متعددة الأجناس (بالإنجليزية: Multi-National Companies). في تقرير سبتمبر 2007 لمشاركة السوق من مؤسسة مدى الأمان (بالإنجليزية: Security Space ) حُدد أن VeriSign و إكتساباته يملك 57.6% من سوق مصادر الشهادات، يتبعه Comodo8.3% ثم GoDaddy6.4% ثم DigiCert2.8% من ثم Network Solutions و أخيرا Entrust1.1%.
في الوقت الراهن هنالك على الأقل 4 مزودون للشهادات الرقمية مجانا دون تكلفة: