Корневой сертификат - Root certificate

Роль корневого сертификата как в цепочке доверия .

В криптографии и компьютерной безопасности , корневой сертификат является публичным сертификатом ключа , который идентифицирует корневой центр сертификации (CA). Корневые сертификаты самозаверяющие (и это возможно сертификат иметь несколько путей доверия, скажем , если сертификат был выдан корнем , который был кроссом-знаковый) и образует основа из X.509инфраструктуры открытых ключей ( PKI). Либо он сопоставил идентификатор ключа авторизации с идентификатором ключа субъекта, в некоторых случаях идентификатор ключа авторизации отсутствует, тогда строка эмитента должна совпадать со строкой темы ( RFC  5280 ). Например, PKI, поддерживающие HTTPS для безопасного просмотра веб- страниц и схем электронной подписи , зависят от набора корневых сертификатов.

Центр сертификации может выдавать несколько сертификатов в виде древовидной структуры . Корневой сертификат - это самый верхний сертификат дерева, закрытый ключ которого используется для «подписи» других сертификатов. Все сертификаты, подписанные корневым сертификатом, с полем «CA», установленным в значение true, наследуют надежность корневого сертификата - подпись корневым сертификатом в некоторой степени аналогична «нотариальному удостоверению» личности в физическом мире. Такой сертификат называется промежуточным сертификатом или сертификатом подчиненного ЦС. Сертификаты, расположенные ниже по дереву, также зависят от надежности промежуточных звеньев.

Корневой сертификат обычно становится надежным с помощью какого-либо механизма, отличного от сертификата, например, путем безопасного физического распространения. Например, некоторые из наиболее известных корневых сертификатов распространяются в операционных системах их производителями. Microsoft распространяет корневые сертификаты , принадлежащие членам программы корневых сертификатов Microsoft в Windows , настольные компьютеры и Windows Phone 8 . Apple распространяет корневые сертификаты, принадлежащие участникам своей собственной корневой программы .

Случаи неправомерного использования корневого сертификата

Выдача поддельных сертификатов Китайским информационным центром сети Интернет (CNNIC)

Пример корневого сертификата DigiCert
Основная статья: Информационный центр Китайской сети Интернет

В 2009 году сотрудник Китайского сетевого информационного центра Интернета (CNNIC) обратился в Mozilla с просьбой добавить CNNIC в список корневых сертификатов Mozilla, и был одобрен. Позже Microsoft также добавила CNNIC в список корневых сертификатов Windows .

В 2015 году многие пользователи предпочли не доверять цифровым сертификатам, выпущенным CNNIC, потому что было обнаружено, что промежуточный центр сертификации, выпущенный CNNIC, выдал поддельные сертификаты для доменных имен Google, и вызвали опасения по поводу злоупотребления CNNIC полномочиями по выдаче сертификатов.

2 апреля 2015 года Google объявил, что больше не признает электронный сертификат, выданный CNNIC. 4 апреля, вслед за Google, Mozilla также объявила, что больше не распознает электронный сертификат, выданный CNNIC. в августе 2016 года официальный сайт CNNIC отказался от корневого сертификата, выданного им самим, и заменил его сертификатом, выданным DigiCert сертификатом.

WoSign и StartCom: выпуск поддельных сертификатов и сертификатов задним числом

Основные статьи: WoSign и StartCom

В 2016 году WoSign , крупнейший в Китае эмитент сертификатов ЦС, принадлежащий Qihoo 360 и его израильской дочерней компании StartCom , не смогли признать свои сертификаты Google .

WoSign и StartCom выяснили, что всего за пять дней выпустили сотни сертификатов с одним и тем же серийным номером, а также выпустили сертификаты задним числом. WoSign и StartCom даже выпустили поддельный сертификат GitHub .

В 2017 году Microsoft также заявила, что удалит соответствующие сертификаты в автономном режиме, но в феврале 2021 года пользователи по-прежнему сообщали, что сертификаты от WoSign и StartCom по-прежнему действуют в Windows 10 и могут быть удалены только вручную.

Смотрите также

использованная литература

  1. ^ "Что такое сертификаты CA?" . Microsoft TechNet . 2003-03-28.
  2. ^ a b «Программа корневых сертификатов SSL для Windows и Windows Phone 8 (членские центры сертификации)» . Microsoft TechNet . Октябрь 2014 г.
  3. ^ "476766 - Добавить корневой сертификат CA центра сетевой информации Китая (CNNIC)" . bugzilla.mozilla.org . Архивировано из оригинала на 2020-02-22 . Проверено 3 января 2020 .
  4. ^ "CNNIC 发行 的 中级 CA 发行 了 Google 的 假 证书" . солидот . 2015-03-24. Архивировано из оригинала на 2015-03-26 . Проверено 24 марта 2015 .
  5. ^ "最 危险 的 互联网 漏洞 正在 逼近" . Архивировано из оригинала на 2015-11-21 . Проверено 26 марта 2015 .
  6. ^ "Google запрещает китайский центр сертификации веб-сайтов после нарушения безопасности" (2 апреля 2015 г.). Extra Crunch.
  7. ^ "谷 歌 不再 承認 中國 CNNIC 頒發 的 信任 證書" .華爾街 日報. 2015-04-03 . Проверено 3 апреля 2015 .
  8. ^ "谷 歌 不再 信任 中国 CNNIC 的 网站 信任 证书" .美國之音. 2015-04-03 . Проверено 3 апреля 2015 .
  9. ^ «Google и Mozilla решили запретить китайский центр сертификации CNNIC из Chrome и Firefox» . VentureBeat. 2 апреля 2015 г.
  10. ^ «Mozilla 紧随 谷 歌 拒绝 承认 中国 安全 证书» .美國之音. 2015-04-04 . Проверено 4 апреля 2015 .
  11. ^ "谷 歌 宣布 开始 全面封杀 使用 沃 通 CA 证书 网站 , 信誉 破产 的 恶果 - 超 能 网" . www.expreview.com . Проверено 3 января 2020 .
  12. ^ «CA: Проблемы с WoSign - MozillaWiki» . wiki.mozilla.org . Проверено 3 января 2020 .
  13. ^ Стивен Шраугер. «История о том, как WoSign предоставил мне сертификат SSL для GitHub.com» . Schrauger.com .
  14. ^ Группа исследования безопасности Защитника Microsoft (2017-08-08). «Microsoft удаляет сертификаты WoSign и StartCom в Windows 10» . Microsoft.
  15. ^ «Сертификаты Toxic Root-CA WoSign и StartCom все еще активны в Windows 10» . Информация о Windows Phone .