В криптографии и компьютерной безопасности корневой сертификат — это сертификат открытого ключа , который идентифицирует корневой центр сертификации (CA). [1] Корневые сертификаты являются самоподписанными (и сертификат может иметь несколько путей доверия, например, если сертификат был выдан корневым сертификатом, который был перекрестно подписан) и составляют основу общедоступного сертификата на основе X.509 . ключевая инфраструктура (PKI). Либо он соответствует идентификатору ключа полномочий с идентификатором ключа субъекта, в некоторых случаях идентификатор ключа полномочий отсутствует, тогда строка эмитента должна совпадать со строкой субъекта ( RFC 5280). Например, PKI, поддерживающие HTTPS [2] для безопасного просмотра веб-страниц и схем электронной подписи , зависят от набора корневых сертификатов.
Центр сертификации может выдавать несколько сертификатов в форме древовидной структуры . Корневой сертификат — это самый верхний сертификат дерева, закрытый ключ, который используется для «подписи» других сертификатов. Все сертификаты, подписанные корневым сертификатом, в поле «CA» которого установлено значение true, наследуют надежность корневого сертификата — подпись корневым сертификатом в некоторой степени аналогична «нотариальному заверению» личности в физическом мире. Такой сертификат называется промежуточным сертификатом или сертификатом подчиненного ЦС. Сертификаты, расположенные ниже по дереву, также зависят от надежности промежуточных звеньев.
Корневой сертификат обычно становится надежным с помощью какого-либо механизма, отличного от сертификата, например, путем безопасного физического распространения. Например, некоторые из наиболее известных корневых сертификатов распространяются в операционных системах их производителями. Microsoft распространяет корневые сертификаты, принадлежащие участникам программы Microsoft Root Certificate Program, на настольные компьютеры Windows и Windows Phone 8 . [2] Apple распространяет корневые сертификаты, принадлежащие участникам собственной корневой программы .
В 2011 году голландский центр сертификации DigiNotar подвергся взлому безопасности. Это привело к выдаче различных поддельных сертификатов, которыми, в частности, злоупотребляли иранские пользователи Gmail. Доверие к сертификатам DigiNotar было отозвано, а оперативное управление компанией перешло к правительству Нидерландов .
В 2009 году сотрудник Китайского информационного центра сети Интернет (CNNIC) обратился в Mozilla с просьбой добавить CNNIC в список корневых сертификатов Mozilla [3] и получил одобрение. Позже Microsoft также добавила CNNIC в список корневых сертификатов Windows .
В 2015 году многие пользователи решили не доверять цифровым сертификатам, выданным CNNIC, поскольку было обнаружено, что промежуточный центр сертификации, выданный CNNIC, выдавал поддельные сертификаты для доменных имен Google [4] и выразил обеспокоенность по поводу злоупотребления CNNIC полномочиями по выдаче сертификатов. [5]
2 апреля 2015 г. Google объявила, что больше не признает электронный сертификат, выданный CNNIC. [6] [7] [8] 4 апреля, вслед за Google, Mozilla также объявила, что больше не признает электронный сертификат, выданный CNNIC. [9] [10]
В 2016 году WoSign , крупнейшему китайскому эмитенту сертификатов CA, принадлежащему Qihoo 360 [11] и ее израильской дочерней компании StartCom , было отказано в признании их сертификатов Google . Microsoft удалила соответствующие сертификаты в 2017 году. [12]
WoSign и StartCom всего за пять дней выдали сотни сертификатов с одним и тем же серийным номером, а также выпустили сертификаты задним числом. [13] WoSign и StartCom выпустили поддельный сертификат GitHub . [14]