Открыть сервис

Корневой удостоверяющий центр

Корневой удостоверяющий центр (от англ. Root Certificate Authority, Root CA) — это доверенный центр сертификации, который является вершиной иерархии в инфраструктуре открытых ключей (PKI). Он выпускает сертификаты для подчинённых удостоверяющих центров (промежуточных и конечных), а его собственный сертификат (корневой сертификат) служит якорем доверия для всей цепочки сертификации. Корневой УЦ не подписывает сертификаты конечных пользователей или веб-сайтов напрямую; его основная функция — создание и поддержание доверенной иерархии.

Функции и роль

Корневой УЦ выполняет несколько ключевых задач в рамках PKI:

Иерархия PKI

В типичной модели PKI корневой УЦ находится на вершине трёхуровневой или многоуровневой иерархии:

  1. Корневой УЦ (Root CA) — самый верхний уровень. Работает преимущественно в офлайн-режиме для минимизации рисков. Его сертификат самоподписанный (self-signed), то есть подписан своим же закрытым ключом.
  2. Промежуточные УЦ (Intermediate CAs) — подчинённые центры, сертификаты которых подписаны корневым УЦ. Они могут работать онлайн и выдавать сертификаты конечным пользователям или другим промежуточным УЦ. Использование нескольких промежуточных уровней позволяет изолировать корневой ключ от ежедневных операций.
  3. Конечные сертификаты (End-entity certificates) — сертификаты для веб-сайтов (SSL/TLS), электронной почты (S/MIME), кода (code signing) и других применений. Они подписываются одним из промежуточных УЦ.

Такая иерархия позволяет:

Безопасность и хранение ключей

Защита закрытого ключа корневого УЦ является критически важной задачей. Основные меры безопасности включают:

Программы корневых сертификатов

Для того чтобы корневой сертификат был автоматически доверенным в операционных системах и браузерах, УЦ должен пройти аудит и быть включён в программу корневых сертификатов (Root Store Program) основных платформ:

Включение в эти программы требует соответствия строгим требованиям: аудит по стандарту WebTrust for CAs (или ETSI EN 319 411), публикация Certificate Practice Statement (CPS) и Certification Practice Statement (CPS), соблюдение правил Baseline Requirements (BR) от CA/Browser Forum, а также регулярные отчёты и проверки.

Известные корневые удостоверяющие центры

К числу наиболее распространённых корневых УЦ, сертификаты которых предустановлены в большинстве устройств и браузеров, относятся:

Критика и ограничения

Несмотря на фундаментальную роль корневых УЦ в обеспечении безопасности интернета, их модель имеет ряд недостатков и критикуется экспертами:

Альтернативы и развитие

В ответ на критику централизованной модели PKI разрабатываются альтернативные подходы:

Источники

  1. Adams, C., & Lloyd, S. (2003). Understanding PKI: Concepts, Standards, and Deployment Considerations. Addison-Wesley.
  2. CA/Browser Forum. (2023). Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates.
  3. Mozilla Foundation. (2023). Mozilla CA Certificate Policy.
  4. Microsoft Corporation. (2023). Microsoft Root Certificate Program Requirements.
  5. Google LLC. (2023). Chrome Root Program Policy.
  6. National Institute of Standards and Technology (NIST). (2019). NIST SP 800-57 Part 1 Rev. 5: Recommendation for Key Management.
  7. Kelsey, J. (2012). The DigiNotar Hack: Anatomy of a Certificate Authority Breach. SANS Institute.
  8. Рекомендации по стандартизации Р 1323565.1.023-2019 «Инфраструктура открытых ключей. Профиль сертификатов и списков отзыва сертификатов».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →