Кореневий сертифікат

Роль кореневого сертифіката в ланцюжку довіри[en].

У криптографії та комп'ютерній безпеці кореневий сертифікат — це сертифікат відкритого ключа, який ідентифікує кореневий центр сертифікації (ЦСК).[1] Кореневі сертифікати є самопідписаними[en] (і сертифікат може мати кілька шляхів довіри, скажімо, якщо сертифікат був виданий кореневим ЦСК із перехресним підписом) і утворюють основу інфраструктури відкритих ключів на основі X.509 (PKI). Або ідентифікатор ключа ЦСК співпадає з ідентифікатором ключа суб'єкта, або у деяких випадках відсутній ідентифікатор ключа ЦСК, тоді рядок видавця має збігатися з рядком суб'єкта (RFC 5280). Наприклад, PKI, що підтримують HTTPS[2] для безпечного веб-перегляду та схем електронного підпису, залежать від набору кореневих сертифікатів.

Центр сертифікації може видавати кілька сертифікатів у формі дерева. Кореневий сертифікат — це найвищий сертифікат дерева, особистий ключ якого використовується для «підпису» інших сертифікатів. Усі сертифікати, підписані кореневим сертифікатом, у якому для поля «ЦСК» встановлено значення true, успадковують надійність кореневого сертифіката — підпис кореневим сертифікатом дещо аналогічний «нотаріальному» посвідченню особи у фізичному світі. Такий сертифікат називається проміжним сертифікатом або сертифікатом підпорядкованого ЦСК. Сертифікати нижче по дереву також залежать від надійності проміжних ЦСК.

Кореневий сертифікат зазвичай стає надійним за допомогою іншого механізму, відмінного від використання сертифікатів, наприклад завдяки безпечному фізичному розповсюдженню. Наприклад, деякі з найвідоміших кореневих сертифікатів поширюються в операційних системах їх виробниками. Корпорація Майкрософт розповсюджує кореневі сертифікати, що належать учасникам Програми кореневих сертифікатів Microsoft, на комп'ютери Windows і Windows Phone 8.[2] Apple поширює кореневі сертифікати, що належать членам її власної програми кореневих сертифікатів.

Випадки неправильного використання кореневого сертифіката

Злом DigiNotar 2011 року

У 2011 році нідерландський центр сертифікації DigiNotar[en] зазнав порушення безпеки. Це призвело до видачі різноманітних підробних сертифікатів, якими, зокрема, зловживали для націлювання на іранських користувачів Gmail. Довіру до сертифікатів DigiNotar було скасовано, а оперативне управління компанією перейшло до голландського уряду.

Китайський інформаційний центр мережі Інтернет (CNNIC) Видає підроблені сертифікати

Приклад кореневого сертифіката DigiCert[en]

У 2009 році співробітник Китайського інформаційного центру мережі Інтернет[en] (CNNIC) звернувся до Mozilla з проханням додати CNNIC до списку кореневих сертифікатів Mozilla[3] і отримав схвалення. Пізніше Microsoft також додала CNNIC до списку кореневих сертифікатів Windows.

У 2015 році багато користувачів вирішили не довіряти цифровим сертифікатам, виданим CNNIC, оскільки було виявлено, що проміжний центр сертифікації, сертифікат якого виданий CNNIC, видав підроблені сертифікати для доменних імен Google,[4] і було висловлено занепокоєння щодо зловживання CNNIC повноваженнями видавати сертифікати.[5]

2 квітня 2015 року Google оголосив, що більше не визнає електронний сертифікат, виданий CNNIC.[6][7][8] 4 квітня, слідом за Google, Mozilla також оголосила, що більше не визнає електронний сертифікат, виданий CNNIC.[9][10] у серпні 2016 року офіційний веб-сайт CNNIC відмовився від кореневого сертифіката, виданого власноруч, і замінив його сертифікатом, виданим DigiCert.

WoSign і StartCom: Видача підроблених сертифікатів із задньою датою

Докладніше: WoSign та StartCom

У 2016 році WoSign[en], найбільшому в Китаї ЦСК, який належить Qihoo 360[en][11] та його ізраїльській дочірній компанії StartCom[en], було відмовлено Google у визнанні їхніх сертифікатів.

WoSign і StartCom виявили, що лише за п'ять днів видали сотні сертифікатів з однаковим серійним номером, а також видали сертифікати задньою датою.[12] WoSign і StartCom навіть видали підроблений сертифікат GitHub.[13]

У 2017 році Microsoft також заявила, що видалить відповідні сертифікати в автономному режимі[14], але в лютому 2021 року користувачі все ще повідомляли, що сертифікати від WoSign і StartCom все ще діють у Windows 10 і їх можна видалити лише вручну.[15]

Див. також

Примітки

  1. What Are CA Certificates?. Microsoft TechNet[en]. 28 березня 2003.
  2. а б Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs). Microsoft TechNet. October 2014.{{cite web}}: Обслуговування CS1: Сторінки з параметром url-status, але без параметра archive-url (посилання)
  3. 476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate. bugzilla.mozilla.org (англ.). Архів оригіналу за 22 лютого 2020. Процитовано 3 січня 2020.
  4. CNNIC发行的中级CA发行了Google的假证书. solidot. 24 березня 2015. Архів оригіналу за 26 березня 2015. Процитовано 24 березня 2015.
  5. 最危险的互联网漏洞正在逼近. Архів оригіналу за 21 листопада 2015. Процитовано 26 березня 2015.
  6. Google Bans China's Website Certificate Authority After Security Breach. № April 2, 2015. Extra Crunch.
  7. 谷歌不再承認中國CNNIC頒發的信任證書. 華爾街日報. 3 квітня 2015. Процитовано 3 квітня 2015.
  8. 谷歌不再信任中国CNNIC 的网站信任证书. 美國之音. 3 квітня 2015. Процитовано 3 квітня 2015.
  9. Google and Mozilla decide to ban Chinese certificate authority CNNIC from Chrome and Firefox. VentureBeat. 2 квітня 2015.
  10. Mozilla紧随谷歌 拒绝承认中国安全证书. 美國之音. 4 квітня 2015. Процитовано 4 квітня 2015.
  11. 谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网. www.expreview.com. Процитовано 3 січня 2020.
  12. CA:WoSign Issues - MozillaWiki. wiki.mozilla.org. Процитовано 3 січня 2020.
  13. Stephen Schrauger. The story of how WoSign gave me an SSL certificate for GitHub.com. Schrauger.com.
  14. Microsoft Defender Security Research Team (8 серпня 2017). Microsoft to remove WoSign and StartCom certificates in Windows 10. Microsoft.
  15. Toxic Root-CA certificates of WoSign and StartCom are still active in Windows 10. Windows Phone Info.
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya