Корневой сертификат

Сертификат, идентифицирующий корневой центр

Роль корневого сертификата в цепочке доверия .

В криптографии и компьютерной безопасности корневой сертификат — это сертификат открытого ключа , который идентифицирует корневой центр сертификации (CA). ^[1] Корневые сертификаты являются самоподписанными (и сертификат может иметь несколько путей доверия, например, если сертификат был выпущен корнем, который был перекрестно подписан) и составляют основу инфраструктуры открытых ключей (PKI) на основе X.509 . Либо он сопоставляет идентификатор ключа органа с идентификатором ключа субъекта, в некоторых случаях идентификатор ключа органа отсутствует, тогда строка эмитента должна совпадать со строкой субъекта ( RFC  5280). Например, PKI, поддерживающие HTTPS ^[2] для безопасного просмотра веб-страниц и схем электронной подписи , зависят от набора корневых сертификатов.

Центр сертификации может выдавать несколько сертификатов в виде древовидной структуры . Корневой сертификат — это самый верхний сертификат дерева, закрытый ключ, который используется для «подписывания» других сертификатов. Все сертификаты, подписанные корневым сертификатом, в поле «CA» которого установлено значение true, наследуют надежность корневого сертификата — подпись корневым сертификатом в некотором роде аналогична «нотариальному заверению» личности в физическом мире. Такой сертификат называется промежуточным сертификатом или подчиненным сертификатом CA. Сертификаты, расположенные ниже по дереву, также зависят от надежности промежуточных звеньев.

Корневой сертификат обычно становится надежным с помощью какого-либо механизма, отличного от сертификата, например, с помощью безопасного физического распространения. Например, некоторые из самых известных корневых сертификатов распространяются в операционных системах их производителями. Microsoft распространяет корневые сертификаты, принадлежащие членам программы Microsoft Root Certificate Program, на настольные компьютеры Windows и Windows Phone 8. [ ^2] Apple распространяет корневые сертификаты, принадлежащие членам своей собственной корневой программы .

Случаи неправомерного использования корневых сертификатов

Взлом DigiNotar в 2011 году

В 2011 году голландский центр сертификации DigiNotar подвергся взлому. Это привело к выпуску различных мошеннических сертификатов, которые, среди прочего, использовались для атаки на иранских пользователей Gmail. Доверие к сертификатам DigiNotar было отозвано, а оперативное управление компанией перешло в руки голландского правительства .

Китайский информационный центр сети Интернет (CNNIC) Выдача поддельных сертификатов

Пример корневого сертификата DigiCert

В 2009 году сотрудник Китайского центра информации о сети Интернет (CNNIC) подал заявку в Mozilla на добавление CNNIC в список корневых сертификатов Mozilla ^[3] и получил одобрение. Позже Microsoft также добавила CNNIC в список корневых сертификатов Windows .

В 2015 году многие пользователи решили не доверять цифровым сертификатам, выпущенным CNNIC, поскольку было обнаружено, что промежуточный центр сертификации, выпущенный CNNIC, выпускал поддельные сертификаты для доменных имен Google ^[4] , и возникли опасения по поводу злоупотребления CNNIC полномочиями по выдаче сертификатов. ^[5]

2 апреля 2015 года Google объявила, что больше не признаёт электронный сертификат, выданный CNNIC. ^{[6] [7] [8]} 4 апреля вслед за Google компания Mozilla также объявила, что больше не признаёт электронный сертификат, выданный CNNIC. ^{[9] [10]}

WoSign и StartCom: выдача поддельных и датированных задним числом сертификатов

В 2016 году WoSign , крупнейший в Китае издатель сертификатов CA, принадлежащий Qihoo 360 ^[11] и его израильскому филиалу StartCom , получили отказ в признании их сертификатов от Google . Microsoft удалила соответствующие сертификаты в 2017 году. ^[12]

WoSign и StartCom выпустили сотни сертификатов с одинаковым серийным номером всего за пять дней, а также выпустили сертификаты задним числом. ^[13] WoSign и StartCom выпустили поддельный сертификат GitHub . ^[14]

Смотрите также

• Протокол статуса сертификата в Интернете (OCSP)
• Суперрыба
• ША-1
• Временная метка
• Верисигна
• Google и Symantec конфликтуют из-за проверок безопасности веб-сайтов

Ссылки

1. «Что такое сертификаты CA?». Microsoft TechNet . 2003-03-28.
2. "Программа корневых сертификатов SSL для Windows и Windows Phone 8 (участники CA)". Microsoft TechNet . Октябрь 2014 г.
3. "476766 - Добавить корневой сертификат CA Китайского информационного центра сети Интернет (CNNIC)". bugzilla.mozilla.org . Архивировано из оригинала 2020-02-22 . Получено 2020-01-03 .
4. "CNNIC 发行的中级CA и Google的假证书" . солидот. 24 марта 2015 г. Архивировано из оригинала 26 марта 2015 г. Проверено 24 марта 2015 г.
5. "最危险的互联网漏洞正在逼近" . Архивировано из оригинала 21 ноября 2015 г. Проверено 26 марта 2015 г.
6. «Google заблокировал китайский центр сертификации веб-сайтов после нарушения безопасности». № 2 апреля 2015 г. Extra Crunch.
7. "谷歌不再承認中國CNNIC頒發的信任證書".華爾街日報. 03 апреля 2015 г. Проверено 3 апреля 2015 г.
8. "谷歌不再信任中国CNNIC 的网站信任证书".美國之音. 03 апреля 2015 г. Проверено 3 апреля 2015 г.
9. "Google и Mozilla решили запретить китайский центр сертификации CNNIC в Chrome и Firefox". VentureBeat. 2 апреля 2015 г.
10. "Mozilla 紧随谷歌 拒绝承认中国安全证书".美國之音. 04.04.2015 . Проверено 4 апреля 2015 г.
11. "谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网" . www.expreview.com . Проверено 3 января 2020 г.
12. Исследовательская группа безопасности Microsoft Defender (2017-08-08). "Microsoft удалит сертификаты WoSign и StartCom в Windows 10". Microsoft.
13. "Проблемы CA:WoSign - MozillaWiki". wiki.mozilla.org . Получено 2020-01-03 .
14. Стивен Шраугер. «История о том, как WoSign предоставил мне SSL-сертификат для GitHub.com». Schrauger.com .