Một chứng thực thường ngụ ý núi đến việc xỏc nhận về nhõn thõn được phỏt hành bởi một cơ quan chứng thực bờn thứ ba (third-party certificate authority - (CA) đỏng tin cậy. Một chứng thực bao gồm cỏc bản ghi cỏc thụng tin như số sờri, tờn người chủ sở hữu, cỏc chỡa khoỏ cụng khai của người chủ sở hữu (một cho việc trao đổi khoỏ bớ mật với tư cỏch là người nhận và một cho chữ ký số với tư cỏch là người gửi), một thuật toỏn sử dụng những khoỏ này, loại hỡnh chứng thực (người chủ sở hữu thẻ, người kinh doanh, hay một cổng thanh toỏn), tờn của CA và chữ ký số của
CA. Việc chứng thực được củng cố thờm bằng việc sử dụng cỏc giấy chứng nhận.
Sự cần thiết của chứng thực: Trước khi 2 bờn sử dụng mó hoỏ khoỏ cụng cộng
để tiến hành kinh doanh, mỗi bờn muốn được đảm bảo rằng bờn kia là xỏc thực. Trước khi A nhận một thụng điệp với chữ ký số hoỏ của B, anh ta muốn được đảm bảo rằng khoỏ cụng cộng thuộc về B chứ khụng phải thuộc ai đú cải trang là B trờn một mạng mở. Một cỏch để đảm bảo chắc chắn rằng khoỏ cụng cộng thuộc về B là phải nhận được nú trờn một kờnh được đảm bảo trực tiếp từ B. Tuy nhiờn, trong hầu hết cỏc trường hợp, giải phỏp này là khụng thực tế. Một giải phỏp thay thế cho việc truyền tải đảm bảo về khoỏ là sử dụng một bờn thứ ba được uỷ thỏc để xỏc nhận rằng khoỏ cụng cộng thuộc về B. Bờn thứ ba như vậy gọi là Cơ quan chứng nhận (Certificate Authority - CA).
CA cú thể yờu cầu B xuất trỡnh CMND cho một cụng chứng viờn trước khi phỏt hành chứng nhận. Sau khi B đó cung cấp một bằng chứng về nhận dạng, cơ quan cấp chứng nhận sẽ tạo ra một thụng điệp chứa đựng tờn của B và khoỏ cụng cộng của anh ta. Thụng điệp này được gọi là một giấy chứng nhận, được ký số hoỏ bởi cơ quan chứng nhận. Nú chứa đựng cỏc thụng tin nhận dạng người chủ cũng như một bản copy của một trong cỏc khoỏ cụng cộng của người chủ. Để đạt lợi ớch tốt nhất, khoỏ cụng cộng của cơ quan chứng nhận nờn được càng nhiều người biết càng tốt.
Cơ quan chứng thực (Certificate Authority - CA).
Một cơ quan chứng thực là một tổ chức cụng cộng hoặc tư nhõn cố gắng đỏp ứng nhu cầu về cỏc dịch vụ bờn thứ ba đỏng tin cậy trong TMĐT. Một CA hoàn thành tốt việc này bằng việc phỏt hành cỏc chứng thực số xỏc nhận cho một số dữ kiện nào đú về đối tượng của chứng thực. Một CA cú thể được chứng thực bởi nột CA đỏng tin cậy khỏc, tạo nờn một hệ thống cấp bậc từ thấp đến cao.
(CCA) phỏt hành chứng thực cho người sở hữu thẻ; cơ quan chứng thực người kinh doanh (MCA) phỏt hành chứng thực cho người kinh doanh quản lý cỏc cửa hàng ảo, và cơ quan chứng thực cổng nối thanh toỏn (PCA) phỏt hành chứng thực cho cỏc nhà cung cấp dịch vụ cổng nối thanh toỏn. Cỏc CA trờn cần cỏc chứng thực cho chớnh họ từ một CA được xỏc định trong phạm vi quốc gia, cơ quan được gọi là cơ quan chứng thực địa chớnh trị (GCA). Để trao đổi cỏc chứng thực trờn phạm vi quốc tế, một cơ quan chứng thực nhón hiệu (BCA) như là VeriSign cần chứng thực cho GCA. Cuối cựng, một cơ quan chứng thực nguồn gốc đơn (RCA) cần chứng thực cho BCA. Cho đến bõy giờ, người ta vẫn chưa quyết định được là cơ quan nào sẽ trở thành RCA. Sự chứng thực qua lại giữa cỏc CA ngày nay đang trở thành phổ biến cho TMĐT quốc tế.
Dưới đõy liệt kờ 10 "mẹo" lựa chọn một CA.
1. Ai sở hữu CA? Hóy tỡm cỏc cụng ty nổi tiếng cú uy tớn về sự trung thực.
2. Người sử dụng được chứng thực như thế nào? Hóy đến với một CA yờu cầu sự xỏc minh "mặt đối mặt" và chứng minh thư photo.
3. Cỏc chứng thực và chỡa khúa được xuất hiện như thế nào? Việc này phải được thực hiện trong một mụi trường an toàn cú sử dụng phần cứng chống giả mạo (tamper-resistant hardware).
4. Cỏc chứng thực được phõn phối như thế nào? Gửi cỏc chỡa khúa và số chứng minh thư cỏ nhõn (personal identification numbers - PIN) cỏch xa nhau, để chỳng khỏi rơi nhầm vào tay người khỏc.
5. Cỏc chớnh sỏch và thể thức cú được phỏt hành trờn Web site? Việc này đem lại cho cỏc khỏch hàng tiềm năng một đầu mối về việc CA vận hành như thế nào.
6. Cỏc chứng thực được thu hồi như thế nào? Thu hồi nhanh chúng cỏc chứng thực bị nghi ngờ hay đỏnh cắp chống lại sự thất lạc và giả mạo.
7. Quỏ trỡnh gia hạn thờm chứng thực là gỡ? Gia hạn hiệu lực thường xuyờn làm tăng thờm tớnh bảo mật.
8. Cú một kế hoạch khắc phục thảm hoạ khụng? Một CA là bắt buộc phải cú, do đú tớnh sẵn cú suốt ngày đờm (24/24h) là một sự bắt buộc.
9. CA cú được kiểm toỏn độc lập khụng? Sự kiểm tra bờn ngoài giỳp duy trỡ tớnh trung thực của dịch vụ.
10. CA cú sự chứng thực qua lại với cỏc CA khỏc hay khụng? Việc này cho phộp cỏc thuờ bao cú được cỏc đối tỏc kinh doanh được chứng thực bởi cỏc CA khỏc. Đõy là một điều cơ bản cần chỳ ý trong TMĐT
Phỏt hành cỏc chứng nhận
Chứng nhận người cú thẻ. Cỏc chứng nhận người cú thẻ hoạt động như là một đại diện điện tử của thẻ thanh toỏn. Vỡ chỳng được ký số hoỏ bởi một định chế tài chớnh, chỳng khụng thể bị thay đổi bởi bờn thứ 3 và chỉ cú thể được tạo ra bởi một định chế tài chớnh. Một chứng nhận người cú thẻ khụng chứa đựng số TK và ngày hết hạn. Thay vỡ cỏc thụng tin TK , một giỏ trị bớ mật chỉ được biết bởi phần mềm của người cú thẻ được mó hoỏ bằng cỏch dựng hệ giải mó chia nhỏ một chiều. Nếu số TK, ngày hết hạn và giỏ trị bớ mật được biết, đường nối với chứng nhận cú thể được chứng minh, nhưng thụng tin khụng thể được rỳt ra bằng cỏch nhỡn vào chứng nhận. Trong khuụn khổ nghị định SET, người cú thẻ cung cấp cỏc thụng tin TK và giỏ trị bớ mật cho cổng thanh toỏn ở đú đường nối được xỏc định.
Một chứng nhận chỉ được phỏt hành cho người cú thẻ khi định chế phỏt hành của người cú thẻ chấp nhận nú. Bằng việc đũi hỏi một chứng nhận, một người cú thẻ đó cho thấy một dự định thực hiện thương mại thụng qua cỏc phương tiện điện tử.
Chứng nhận này được chuyển cho người bỏn với cỏc đũi hỏi mua và chỉ dẫn thanh toỏn được mó hoỏ. Cho tới khi nhận được chứng nhận người cú thẻ, một người bỏn cú thể tin chắc, ở mức tối thiểu, rằng số TK đó được xỏc định bởi định chế tài chớnh phỏt hành thẻ hoặc đại lý của nú.
Chứng nhận người bỏn: Cỏc chứng nhận người bỏn hoạt động như là một thay thế điện tử cho việc chuyển thương hiệu thanh toỏn xuất hiện trờn cửa sổ nhà kho (nơi bỏn hàng) – bản than decal là một sự đại diện thể hiện rằng người bỏn cú mối liờn hệ với một định chế tài chớnh cho phộp nú chấp nhận thương hiệu thẻ thanh toỏn. Bởi vỡ chỳng được ký một cỏch số hoỏ bởi định chế tài chớnh của người bỏn, chứng nhận người bỏn khụng thể bị thay đổi bởi một bờn thứ ba và chỉ cú thể được tạo ra bởi một định chế tài chớnh.
Cỏc chứng nhận này được chứng thực bởi định chế tài chớnh chấp nhận và cung cấp một sự đảm bảo rằng người bỏn nắm giữ một thoả thuận chắc chắn với một người chấp nhận thẻ. Một người bỏn phải cú ớt nhất một cặp chứng nhận để tham gia vào mụi trường SET, nhưng cú thể cú nhiều cặp chứng nhận đối với mỗi thương hiệu thẻ mà nú chấp nhận.
Chứng nhận cổng thanh toỏn: Chứng nhận cổng thanh toỏn cú được bởi người chấp nhận hay người xử lý chỳng đối với hệ thống xử lý uỷ thỏc và tiếp nhận cỏc thụng điệp. Khoỏ mó hoỏ cổng mà người cú thẻ nhận được từ chứng nhận này được dựng để bảo vệ cỏc thụng tin TK của người cú thẻ. Chứng nhận cổng thanh toỏn được phỏt hành cho người chấp nhận bởi thương hiệu thẻ thanh toỏn.
Chứng nhận người chấp nhận: Một người chấp nhận nhất định phải cú chứng nhận để vận hành một CA cú thể chấp nhận và xử lý cỏc yờu cầu chứng nhận trực tiếp từ người bỏn qua mạng cụng cộng và cỏ nhõn.
nhận để vận hành một CA cú thể chấp nhận và xử lý cỏc yờu cầu chứng nhận trực tiếp từ người cú thẻ qua mạng cụng cộng và cỏ nhõn.