根证书是什么

维基 问答 2022-05-06 05:19:27 阅读(...)

根证书(root certificate)是属于根证书颁发机构(CA)的公钥证书,是在公开密钥基础建设中,信任链的起点。证书颁发机构的角色有如现实世界中的公证行,保证网络世界中电子证书持有人的身份。

在密码学和计算机安全领域,根证书(root certificate)是属于根证书颁发机构(CA)的公钥证书,是在公开密钥基础建设中,信任链的起点。证书颁发机构的角色有如现实世界中的公证行,保证网络世界中电子证书持有人的身份。具体作法是透过中介证书,利用数字签名为多个客户签发多个不同的终端实体证书,形成一个以其根证书为顶层的树状结构,在此传递关系中所有下层证书都会因为根证书可被信赖而继承信任基础。

根证书 root certificate

根证书没有上层机构再为其本身作数字签名,所以都是自签证书。许多应用软件(例如操作系统、网页浏览器)会预先安装可被信任的根证书,这代表用户授权了应用软件代为审核哪些根证书机构属于可靠,例如是公认可靠的政府机关(如香港邮政)、专职机构(如 Google、Let’s Encrypt、CAcert.org、Comodo、DigiCert、GlobalSign)等。

应用软件在创建安全连接时,例如使用网页浏览器访问一个网站,会执行认证路径验证算法,使用该主机提供的电子证书,验证是否能够对应到预先安装的根证书,从而验证从根证书到终端节点的路径是否为一条有效的信任链,确保 TLS 安全连接中的身份。但是,这意味着用户信任浏览器的发布商、它所预先安装的证书颁发机构,以及这些证书颁发机构可能颁发的所有中间证书颁发机构,相信他们忠诚地确保各证书持有人的身份和意图。

钥匙典礼

证书机构自签一张新的根证书时,需要产生一对公开密钥及私有密钥,这个过程在公证人、律师及录影系统监察下经过一系列严谨的程序,在高度防护的设施内进行。

根证书计划

由于根证书在公开密钥基础建设担任重要角色,负责任的证书机构会公布证书作业准则以供公众查阅,并负上法律责任。根证书一般会预先在不同的软件广泛部署,所以各大软件商(如 Mozilla、微软、苹果公司、甲骨文公司 Java、Adobe Systems)也发布自己的审核标准,列明严谨的核认程序,例如行政人员的授权及机构法人身份的核认,才会部署于软件产品,发放给大众用户安装。而由于部署程序复杂费时,证书机构发出的根证书有效期可能长达十年以上。

在不少较为发达的国家和地区,都已立法承认数字签名拥有等同亲笔签名的法律效力,并行出在法律上可被信任的根证书(如欧洲联盟、香港、台湾)。

自行安装根证书

虽然应用软件会根据审核标准预载一系列可靠的根证书,但用户仍然可以透过接口自行增删其电脑上所安装并信任的根证书清单。有时候,用户连接某些网站时,会得到来自应用软件(浏览器)的安全警告,但基于实际情况,仍然可能选择信任网站,跳过警告以继续;典型的例子是一般家用路由器,这些家用路由器的设置接口一般是以网页形式在浏览器上执行,如果设置成为“以 HTTPS 连接”,则其原厂设置所使用的电子证书一般为自签证书,即未经证书机构数字签名担保,但用户仍然可能选择跳过警告,甚至在浏览器的信任根证书清单增加路由器的自签证书,以便日后再设置时不必再收到浏览器的安全警告。

另外一种情况,就是企业内部网的企业级软件,企业的信息工程部门可能在员工的电脑上安装了企业自行管理的根证书,使企业软件不必倚赖外间第三者的证书机构,而是可以自行担当企业内部的证书机构;但是这些根证书可能未被广泛认可,只在企业内部适用。

警告:自行安装根证书,或跳过应用软件的安全警告,都可能会使用户面对信息安全风险,可能使应用软件的保固条款失效,甚至使用户的法律权益受损。尤其是在知名网站、银行及政府机关等都不应有这种需要。用户需自行了解所要安装的根证书的加密技术、所属网站的真实身份及用户的法律权责。

0个人收藏 收藏

评论交流

泪雪默认头像 请「登录」后参与评论
  1. 加载中..

相关推荐

  • 公开密钥密码学 Public-key cryptography

    公开密钥密码学是什么

    公开密钥密码学也称非对称式密码学是密码学的一种算法,需要两个密钥,一个是公开密钥,另一个是私有密钥;公钥用作加密,私钥则用作解密。使用公钥把明文加密后所得的密文,只能用相对应的私钥才能解密并得到原本的明文,最初用来加密的公钥不能用作解密。
  • digital certificate 数字证书

    数字证书有什么作用

    数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性,数字证书是CA机构发行的一种电子文档,是一串能够表明网络用户身份信息的数字,提供了一种在计算机网络上验证网络用户身份的方式。
  • 证书透明度 Certificate Transparency

    证书透明度是什么

    证书透明度也称证书透明、证书透明化,它是一个实验性的IETF开源标准和开源框架,目的是监测和审计数字证书。通过证书日志、监控和审计系统,证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书,以及识别数字证书认证机构的作为。
  • 信任链 Trust chain

    信任链是什么

    信任链(数字证书链)是一连串的数字证书,由根证书为起点,透过层层信任,使终端实体证书的持有者可以获得转授的信任,以证明身份。
  • 信任网络 Web of Trust

    信任网络是什么

    信任网络(WoT)是密码学中的一个概念,可以用来验证一个公钥的持有者身份,应用于PGP、GnuPG或其他OpenPGP兼容系统中。信任网络用去中心化的概念,不同于依赖数字证书认证机构的公钥基础设施。
  • 公开密钥加密 Public-key cryptography

    公开密钥加密是什么

    公开密钥密码学也称非对称式密码学,是密码学的一种算法,需要两个密钥,一个是公开密钥,另一个是私有密钥;公钥用作加密,私钥则用作解密。使用公钥把明文加密后所得的密文,只能用相对应的私钥才能解密并得到原本的明文,最初用来加密的公钥不能用作解密。