根证书是什么

在密码学和计算机安全领域,根证书(root certificate)属于根证书颁发机构(CA)公钥证书,在公钥基础设施中,信任链的开始 。证书颁发机构的角色就像现实世界中的公证行,保证了网络世界中电子证书所有者的身份 。具体方法是通过中介证书,利用电子签名为多个客户签署多个不同的终端实体证书,形成根证书为顶层的树结构 。在这种传输中,所有的下层证书都将继承基本的信任,因为根证书可以被信任 。

根证书是什么

文章插图
根证书没有顶层组织为自己做电子签名,所以都是自签证书 。许多系统软件(如操作系统、浏览器工具)将提前组装可靠的根证书,这意味着用户授权系统软件委托哪个证书组织是可靠的,例如,公认可靠的政府部门(如香港邮政)、职业组织(如 Google、Let’s Encrypt、CAcert.org、Comodo、DigiCert、GlobalSign)等 。
系统软件在创建安全连接时,如应用浏览器工具浏览网站,将实施验证方式认证算法,使用主机提供的电子证书,认证是否可以相应于提前安装根证书,然后从根证书到终端节点路径是否为高效信任链,确保 TLS 安全联系中的身份 。然而,这意味着客户信任浏览器的出版商,他们提前安装了证书发行机构,以及这些证书发行机构可能授予的所有中间证书发行机构,他们相信他们忠实地保证了证书所有者的身份和意图 。
锁匙庆典证书组织签署新的根证书时,必须在公证人、律师和录影系统的监督下,在高度保护的设备中进行一对公共密钥和私人密钥 。
根证书方案由于根证书在公共密钥基础设施中发挥着重要作用,负责任的证书组织将发布证书工作规则供群众查看,并承担法律依据 。根证一般会提前在不同的软件上布置,所以各种软件供应商(如 Mozilla、微软、苹果、甲骨文公司 Java、Adobe Systems)还公布了自己的审计标准,注明了严格的验证程序,如行政人员授权和组织法人身份验证,可以安排在软件项目中,分发给公众客户进行组装 。但由于安排程序复杂费时,证书组织出具的根证书有效期可能在近十年以上 。
【根证书是什么】在许多相对发达的国家和地区,电子签名已经得到了法律的认可,具有相当于个人签名的法律认可,并在法律上获得了可靠的根证书(如欧洲联盟、香港和台湾) 。
独立组装根证书虽然系统软件会根据审计标准预载一系列可靠的基础证书,但客户仍然可以通过插座独立删除计算机上组装和可靠的基础证书细节 。有时,当客户联系某些网站时,他们会得到来自系统软件(浏览器)的安全警告,但根据具体情况,他们仍然可以选择可靠的网站,绕过警告再次;典型的例子是一般的家庭路由器,这种家庭路由器设置插座通常是在浏览器上的网页,如果设置变成“ HTTPS “连接”,其原装设置所用的电子证书一般为自签证书,也就是说,没有证书的电子签名担保,客户仍然可以选择绕过警告,甚至在浏览器的信任根证书中提高路由器的自我签名证书,以便在未来设置时无需收到浏览器的安全警告 。
另一种情况是企业内部网络的企业级软件 。公司信息工程单位可以在员工的电脑上安装公司独立管理的根证书,使企业软件不依赖外部第三方的证书组织,而是可以自行担任公司内部的证书组织;但这些根证书可能不被广泛认可,只能在公司内部使用 。
警告:独立组装根证书,或绕过系统软件的安全警告,可能使客户处理信息安全风险,可能使系统软件的保护规定无效,甚至损害用户的法律利益 。特别是在知名网站、银行和政府部门 。用户需要独立掌握安装根证书的加密算法、网站的真实身份和客户的法律责任 。