什么是根证书?SSL根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。
什么是根证书?
根证书,通常称为可信根,是保护公钥基础设施(PKI)的信任模型的核心。
每个设备都包含一个所谓的根存储。根存储是预先下载的根证书及其公钥的集合,这些证书驻留在设备上。设备要么使用内置于其操作系统中的根存储,要么通过网络浏览器等应用程序使用第三方根存储。根存储是根程序的一部分,例如来自Microsoft、Apple、Google和Mozilla的程序。Microsoft用户使用Microsoft根存储等。
根程序在极其严格的准则下运行。除了CA/B论坛的基本要求规定的规定和限制外,一些根程序(例如Mozilla的)在顶部添加了更严格的要求。
原因很简单:信任。根证书是无价的,因为任何使用其私钥签名的证书都会自动受到浏览器的信任。CA必须遵守严格的要求、审计和公众监督,以确保CA保持足够的社会信任,以值得拥有可信根所带来的技术信任。
当一个CA被建立时,它不是预先信任的。在给定时间内,该CA通过由已受信任的CA颁发的交叉签名中间证书开展业务。交叉证书是由一个CA颁发的数字证书,用于为另一个CA的根证书签署公钥。交叉证书提供了一种创建从单个受信任的根CA到多个其他CA的信任链的方法。一旦CA的应用程序被接受并证明自己值得信赖,它就会将其根添加到根存储中。
受信任的根证书是一种特殊的X.509数字证书,可用于颁发其他证书。虽然任何最终用户TLS/SSL证书的有效期最长为两年(很快为1年),但根证书的有效期要长得多。
此外,每个受信任的CA都有多个根证书,每个根证书具有不同的属性。这在根存储中可见。
在Windows操作系统上,如果您正在查看证书存储,您会在受信任的根证书颁发机构中看到所有根CA证书。默认情况下,这包括与Windows一起安装并通过Windows更新定期更新的公共根CA的列表。
根证书下面的所有证书都信任根证书,根证书的公钥用于签署其他证书。许多软件应用程序继承了此根证书的可靠性,例如浏览器在根证书可信度的基础上验证SSL/TLS连接。由于这些根证书的价值,以及其中一个被破坏所带来的风险,它们很少用于颁发最终实体证书。声明:本平台所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本平台赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
什么是根证书?根证书结构是怎样的?
发布日期:2023-07-10
领取优惠
提交成功!