stringtranslate.com

Корневой сертификат

Роль корневого сертификата в цепочке доверия .

В криптографии и компьютерной безопасности корневой сертификат — это сертификат открытого ключа , который идентифицирует корневой центр сертификации (CA). [1] Корневые сертификаты являются самоподписанными (и сертификат может иметь несколько путей доверия, например, если сертификат был выдан корневым сертификатом, который был перекрестно подписан) и составляют основу общедоступного сертификата на основе X.509 . ключевая инфраструктура (PKI). Либо он соответствует идентификатору ключа полномочий с идентификатором ключа субъекта, в некоторых случаях идентификатор ключа полномочий отсутствует, тогда строка эмитента должна совпадать со строкой субъекта ( RFC  5280). Например, PKI, поддерживающие HTTPS [2] для безопасного просмотра веб-страниц и схем электронной подписи , зависят от набора корневых сертификатов.

Центр сертификации может выдавать несколько сертификатов в форме древовидной структуры . Корневой сертификат — это самый верхний сертификат дерева, закрытый ключ, который используется для «подписи» других сертификатов. Все сертификаты, подписанные корневым сертификатом, в поле «CA» которого установлено значение true, наследуют надежность корневого сертификата — подпись корневым сертификатом в некоторой степени аналогична «нотариальному заверению» личности в физическом мире. Такой сертификат называется промежуточным сертификатом или сертификатом подчиненного ЦС. Сертификаты, расположенные ниже по дереву, также зависят от надежности промежуточных звеньев.

Корневой сертификат обычно становится надежным с помощью какого-либо механизма, отличного от сертификата, например, путем безопасного физического распространения. Например, некоторые из наиболее известных корневых сертификатов распространяются в операционных системах их производителями. Microsoft распространяет корневые сертификаты, принадлежащие участникам программы Microsoft Root Certificate Program, на настольные компьютеры Windows и Windows Phone 8 . [2] Apple распространяет корневые сертификаты, принадлежащие участникам собственной корневой программы .

Случаи неправильного использования корневого сертификата

Взлом DigiNotar 2011 года

В 2011 году голландский центр сертификации DigiNotar подвергся взлому безопасности. Это привело к выдаче различных поддельных сертификатов, которыми, в частности, злоупотребляли иранские пользователи Gmail. Доверие к сертификатам DigiNotar было отозвано, а оперативное управление компанией перешло к правительству Нидерландов .

Китайский сетевой информационный центр Интернета (CNNIC) Выдача поддельных сертификатов

Пример корневого сертификата DigiCert

В 2009 году сотрудник Китайского информационного центра сети Интернет (CNNIC) обратился в Mozilla с просьбой добавить CNNIC в список корневых сертификатов Mozilla [3] и получил одобрение. Позже Microsoft также добавила CNNIC в список корневых сертификатов Windows .

В 2015 году многие пользователи решили не доверять цифровым сертификатам, выданным CNNIC, поскольку было обнаружено, что промежуточный центр сертификации, выданный CNNIC, выдавал поддельные сертификаты для доменных имен Google [4] и выразил обеспокоенность по поводу злоупотребления CNNIC полномочиями по выдаче сертификатов. [5]

2 апреля 2015 г. Google объявила, что больше не признает электронный сертификат, выданный CNNIC. [6] [7] [8] 4 апреля, вслед за Google, Mozilla также объявила, что больше не признает электронный сертификат, выданный CNNIC. [9] [10]

WoSign и StartCom: выдача поддельных сертификатов и сертификатов задним числом

В 2016 году WoSign , крупнейшему китайскому эмитенту сертификатов CA, принадлежащему Qihoo 360 [11] и ее израильской дочерней компании StartCom , было отказано в признании их сертификатов Google . Microsoft удалила соответствующие сертификаты в 2017 году. [12]

WoSign и StartCom всего за пять дней выдали сотни сертификатов с одним и тем же серийным номером, а также выпустили сертификаты задним числом. [13] WoSign и StartCom выпустили поддельный сертификат GitHub . [14]

Смотрите также

Рекомендации

  1. ^ «Что такое сертификаты CA?». Microsoft TechNet . 28 марта 2003 г.
  2. ^ ab «Программа корневых сертификатов SSL для Windows и Windows Phone 8 (центры сертификации-члены)» . Microsoft TechNet . Октябрь 2014.
  3. ^ «476766 — Добавить корневой сертификат CA Китайского интернет-сетевого информационного центра (CNNIC)» . bugzilla.mozilla.org . Архивировано из оригинала 22 февраля 2020 г. Проверено 3 января 2020 г.
  4. ^ "CNNIC 发行的中级CA и Google的假证书" . солидот. 24 марта 2015 г. Архивировано из оригинала 26 марта 2015 г. Проверено 24 марта 2015 г.
  5. ^ "最危险的互联网漏洞正在逼近" . Архивировано из оригинала 21 ноября 2015 г. Проверено 26 марта 2015 г.
  6. ^ «Google банит центр сертификации веб-сайтов Китая после взлома безопасности» . № 2 апреля 2015 г. Extra Crunch.
  7. ^ "谷歌不再承認中國CNNIC頒發的信任證書".華爾街日報. 03.04.2015 . Проверено 3 апреля 2015 г.
  8. ^ "谷歌不再信任中国CNNIC 的网站信任证书".美國之音. 03.04.2015 . Проверено 3 апреля 2015 г.
  9. ^ «Google и Mozilla решают запретить китайскому центру сертификации CNNIC использовать Chrome и Firefox» . ВенчурБит. 2 апреля 2015 г.
  10. ^ "Mozilla 紧随谷歌 拒绝承认中国安全证书".美國之音. 04.04.2015 . Проверено 4 апреля 2015 г.
  11. ^ "谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网" . www.expreview.com . Проверено 3 января 2020 г.
  12. ^ Группа исследования безопасности Microsoft Defender (08 августа 2017 г.). «Microsoft удалит сертификаты WoSign и StartCom в Windows 10». Майкрософт.
  13. ^ «Проблемы CA: WoSign — MozillaWiki» . Wiki.mozilla.org . Проверено 3 января 2020 г.
  14. ^ Стивен Шраугер. «История о том, как WoSign подарил мне SSL-сертификат для GitHub.com». Шраугер.com .