根证书
维基百科,自由的 encyclopedia
在密码学和电脑安全领域,根证书(root certificate)是属于根证书颁发机构(CA)的公钥证书,是在公开密钥基础建设中,信任链的起点(英语:Trust anchor)[1]。证书颁发机构的角色有如现实世界中的公证行,保证网络世界中电子证书持有人的身份。具体作法是透过中介证书,利用数码签名为多个客户签发多个不同的终端实体证书,形成一个以其根证书为顶层的树状结构,在此传递关系中所有下层证书都会因为根证书可被信赖而继承信任基础。
根证书没有上层机构再为其本身作数码签名,所以都是自签证书。许多应用软件(例如操作系统、网页浏览器)会预先安装可被信任的根证书,这代表用户授权了应用软件代为审核哪些根证书机构属于可靠,例如是公认可靠的政府机关(如香港邮政[2])、专职机构(如Google[3]、Let's Encrypt、CAcert.org、Comodo、DigiCert、GlobalSign)等。应用软件在建立安全连接时,例如使用网页浏览器访问一个网站,会执行认证路径验证算法(英语:Certification path validation algorithm),使用该主机提供的电子证书,验证是否能够对应到预先安装的根证书,从而验证从根证书到终端节点的路径是否为一条有效的信任链,确保TLS安全连接中的身份。但是,这意味着用户信任浏览器的发布商、它所预先安装的证书颁发机构,以及这些证书颁发机构可能颁发的所有中间证书颁发机构,相信他们忠诚地确保各证书持有人的身份和意图。