Корневой сертификат

В криптографии и компьютерной безопасности корневой сертификат — это сертификат открытого ключа , который идентифицирует корневой центр сертификации (CA). ^[1] Корневые сертификаты являются самоподписанными (и сертификат может иметь несколько путей доверия, например, если сертификат был выдан корневым сертификатом, который был перекрестно подписан) и составляют основу X.509 на основе инфраструктуры открытых ключей ( ПКИ). Либо он соответствует идентификатору ключа авторизации с идентификатором ключа субъекта, в некоторых случаях идентификатор ключа авторитета отсутствует, тогда строка эмитента должна совпадать со строкой субъекта ( RFC 5280 ). Например, PKI, поддерживающие HTTPS ^[2] для безопасного просмотра веб-страниц и схем электронной подписи зависят от набора корневых сертификатов.

Центр сертификации может выдавать несколько сертификатов в форме древовидной структуры . Корневой сертификат — это самый верхний сертификат дерева, закрытый ключ, который используется для «подписи» других сертификатов. Все сертификаты, подписанные корневым сертификатом, в поле «CA» которого установлено значение «истина», наследуют надежность корневого сертификата — подпись корневым сертификатом в некоторой степени аналогична «нотариальному заверению» личности в физическом мире. Такой сертификат называется промежуточным сертификатом или сертификатом подчиненного ЦС. Сертификаты, расположенные ниже по дереву, также зависят от надежности промежуточных звеньев.

Корневой сертификат обычно становится надежным с помощью какого-либо механизма, отличного от сертификата, например, путем безопасного физического распространения. Например, некоторые из наиболее известных корневых сертификатов распространяются в операционных системах их производителями. Microsoft распространяет корневые сертификаты, принадлежащие участникам программы корневых сертификатов Microsoft, на настольные компьютеры Windows и Windows Phone 8 . ^[2] Apple распространяет корневые сертификаты, принадлежащие участникам собственной корневой программы .

Случаи неправильного использования корневого сертификата

Взлом DigiNotar 2011 года

В 2011 году голландский центр сертификации DigiNotar подвергся взлому безопасности. Это привело к выдаче различных поддельных сертификатов, которыми, в частности, злоупотребляли иранские пользователи Gmail. Доверие к сертификатам DigiNotar было отозвано, а оперативное управление компанией перешло к правительству Нидерландов .

Китайский сетевой информационный центр Интернета (CNNIC) Выдача поддельных сертификатов

В 2009 году сотрудник Китайского информационного центра сети Интернет (CNNIC) обратился в Mozilla с просьбой добавить CNNIC в список корневых сертификатов Mozilla. ^[3] и был одобрен. Позже Microsoft также добавила CNNIC в список корневых сертификатов Windows .

В 2015 году многие пользователи решили не доверять цифровым сертификатам, выданным CNNIC, поскольку было обнаружено, что промежуточный центр сертификации, выданный CNNIC, выдавал поддельные сертификаты для доменных имен Google. ^[4] и выразил обеспокоенность по поводу злоупотребления CNNIC полномочиями по выдаче сертификатов. ^[5]

2 апреля 2015 г. Google объявила, что больше не признает электронный сертификат, выданный CNNIC. ^[6]^[7]^[8] 4 апреля вслед за Google Mozilla также объявила, что больше не признает электронный сертификат, выданный CNNIC. ^[9]^[10]

WoSign и StartCom: выдача поддельных сертификатов и сертификатов задним числом

В 2016 году WoSign , крупнейший в Китае эмитент сертификатов CA, принадлежал Qihoo 360. ^[11] и ее израильской дочерней компании StartCom было отказано в признании Google их сертификатов . Microsoft удалила соответствующие сертификаты в 2017 году. ^[12]

WoSign и StartCom всего за пять дней выдали сотни сертификатов с одним и тем же серийным номером, а также выпустили сертификаты задним числом. ^[13] WoSign и StartCom выдали поддельный сертификат GitHub . ^[14]

См. также

Ссылки

^ «Что такое сертификаты CA?» . Microsoft TechNet . 28 марта 2003 г.
^ Перейти обратно: ^а ^б «Программа корневых сертификатов SSL для Windows и Windows Phone 8 (центры сертификации-члены)» . Microsoft TechNet . Октябрь 2014.
^ «476766 — Добавить корневой сертификат CA Китайского интернет-сетевого информационного центра (CNNIC)» . bugzilla.mozilla.org . Архивировано из оригинала 22 февраля 2020 г. Проверено 3 января 2020 г.
^ «Промежуточный центр сертификации, выданный CNNIC, выдал поддельный сертификат Google» Solidot 24 марта 2015 г. Архивировано из оригинала 26 марта 2015 . г. .
^ «Приближается самая опасная уязвимость Интернета» Архивировано из оригинала 21 ноября 2015 г. Проверено 26 марта 2015 г.
^ «Google банит центр сертификации веб-сайтов Китая после нарушения безопасности» . № 2 апреля 2015 г. Extra Crunch.
^ выданные китайской CNNIC» . Wall Street Journal г. . 3 апреля 2015 «Google больше не признает трастовые сертификаты ,
^ сайта China CNNIC» . Голос Америки г. . 3 апреля 2015 «Google больше не доверяет сертификату доверия веб -
^ «Google и Mozilla решили запретить китайскому центру сертификации CNNIC использовать Chrome и Firefox» . ВенчурБит. 2 апреля 2015 г.
^ «Mozilla следует за Google, отказываясь признавать китайский сертификат безопасности» . 4 г. Проверено 2015 апреля
^ «Google объявила, что начнет полностью блокировать веб-сайты, использующие сертификаты WoSign CA, последствиями чего станет банкротство сайта — » Chaoneng.com Проверено 03.01.2020 .
^ Группа исследования безопасности Microsoft Defender (08 августа 2017 г.). «Microsoft удалит сертификаты WoSign и StartCom в Windows 10» . Майкрософт.
^ «Проблемы CA:WoSign — MozillaWiki» . Wiki.mozilla.org . Проверено 3 января 2020 г.
^ Стивен Шраугер. «История о том, как WoSign подарил мне SSL-сертификат для GitHub.com» . Шраугер.com .

[1] «Что такое сертификаты CA?» . Microsoft TechNet . 28 марта 2003 г.

[:0-2] Перейти обратно: ^а ^б «Программа корневых сертификатов SSL для Windows и Windows Phone 8 (центры сертификации-члены)» . Microsoft TechNet . Октябрь 2014.

[3] «476766 — Добавить корневой сертификат CA Китайского интернет-сетевого информационного центра (CNNIC)» . bugzilla.mozilla.org . Архивировано из оригинала 22 февраля 2020 г. Проверено 3 января 2020 г.

[4] «Промежуточный центр сертификации, выданный CNNIC, выдал поддельный сертификат Google» Solidot 24 марта 2015 г. Архивировано из оригинала 26 марта 2015 . г. .

[5] «Приближается самая опасная уязвимость Интернета» Архивировано из оригинала 21 ноября 2015 г. Проверено 26 марта 2015 г.

[6] «Google банит центр сертификации веб-сайтов Китая после нарушения безопасности» . № 2 апреля 2015 г. Extra Crunch.

[7] выданные китайской CNNIC» . Wall Street Journal г. . 3 апреля 2015 «Google больше не признает трастовые сертификаты ,

[8] сайта China CNNIC» . Голос Америки г. . 3 апреля 2015 «Google больше не доверяет сертификату доверия веб -

[9] «Google и Mozilla решили запретить китайскому центру сертификации CNNIC использовать Chrome и Firefox» . ВенчурБит. 2 апреля 2015 г.

[10] «Mozilla следует за Google, отказываясь признавать китайский сертификат безопасности» . 4 г. Проверено 2015 апреля

[11] «Google объявила, что начнет полностью блокировать веб-сайты, использующие сертификаты WoSign CA, последствиями чего станет банкротство сайта — » Chaoneng.com Проверено 03.01.2020 .

[12] Группа исследования безопасности Microsoft Defender (08 августа 2017 г.). «Microsoft удалит сертификаты WoSign и StartCom в Windows 10» . Майкрософт.

[13] «Проблемы CA:WoSign — MozillaWiki» . Wiki.mozilla.org . Проверено 3 января 2020 г.

[14] Стивен Шраугер. «История о том, как WoSign подарил мне SSL-сертификат для GitHub.com» . Шраугер.com .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]