Certificado raiz - Root certificate

A função do certificado raiz como na cadeia de confiança .

Em criptografia e segurança de computador , um certificado raiz é um certificado de chave pública que identifica uma autoridade de certificação raiz (CA). Os certificados raiz são autoassinados (e é possível que um certificado tenha vários caminhos de confiança, por exemplo, se o certificado foi emitido por uma raiz com assinatura cruzada) e formam a base de uma infraestrutura de chave pública baseada em X.509 ( PKI). Ou ele combinou o Identificador de Chave de Autoridade com o Identificador de Chave de Assunto, em alguns casos não há nenhum identificador de Chave de Autoridade, então a string do emissor deve corresponder à string do Assunto ( RFC 5280 ). Por exemplo, as PKIs que suportam HTTPS para navegação segura na web e esquemas de assinatura eletrônica dependem de um conjunto de certificados raiz.  

Uma autoridade de certificação pode emitir vários certificados na forma de uma estrutura em árvore . Um certificado raiz é o certificado mais alto da árvore, cuja chave privada é usada para "assinar" outros certificados. Todos os certificados assinados pelo certificado raiz, com o campo "CA" definido como verdadeiro, herdam a confiabilidade do certificado raiz - uma assinatura por um certificado raiz é um tanto análogo a "notarizar" a identidade no mundo físico. Esse certificado é denominado certificado intermediário ou certificado CA subordinado. Certificados mais abaixo na árvore também dependem da confiabilidade dos intermediários.

O certificado raiz geralmente se torna confiável por algum mecanismo diferente de um certificado, como por distribuição física segura. Por exemplo, alguns dos certificados raiz mais conhecidos são distribuídos em sistemas operacionais por seus fabricantes. Microsoft distribui certificados de raiz pertencentes a membros do Microsoft Root Certificate Program para o Windows desktops e Windows Phone 8 . A Apple distribui certificados raiz pertencentes a membros de seu próprio programa raiz .

Incidentes de uso indevido de certificado raiz

Emissão de certificados falsos pelo Centro de Informações de Rede da Internet da China (CNNIC)

Exemplo de um certificado raiz DigiCert

Em 2009, um funcionário do Centro de Informações de Rede da Internet da China (CNNIC) candidatou-se à Mozilla para adicionar o CNNIC à lista de certificados raiz da Mozilla e foi aprovado. Posteriormente, a Microsoft também adicionou CNNIC à lista de certificados raiz do Windows .

Em 2015, muitos usuários optaram por não confiar nos certificados digitais emitidos pelo CNNIC porque uma CA intermediária emitida pelo CNNIC emitiu certificados falsos para nomes de domínio do Google e levantou preocupações sobre o abuso do poder de emissão de certificados do CNNIC.

Em 2 de abril de 2015, o Google anunciou que não reconhecia mais o certificado eletrônico emitido pelo CNNIC. em 4 de abril, após o Google, a Mozilla também anunciou que não reconhecia mais o certificado eletrônico emitido pelo CNNIC. em agosto de 2016, o site oficial do CNNIC abandonou o certificado raiz emitido por ele mesmo e o substituiu pelo certificado emitido pelo certificado emitido pelo DigiCert .

WoSign e StartCom: emissão de certificados falsos e retroativos

Em 2016, a WoSign , o maior emissor de certificados CA da China de propriedade da Qihoo 360 e sua subsidiária israelense StartCom , teve o reconhecimento de seus certificados negado pelo Google .

WoSign e StartCom revelaram ter emitido centenas de certificados com o mesmo número de série em apenas cinco dias, bem como certificados de backdating. WoSign e StartCom emitiram até mesmo um certificado GitHub falso .

A Microsoft também disse em 2017 que removeria os certificados relevantes offline, mas em fevereiro de 2021 os usuários ainda relataram que os certificados do WoSign e StartCom ainda eram eficazes no Windows 10 e só podiam ser removidos manualmente.

Veja também

Referências

  1. ^ "O que são certificados de CA?" . Microsoft TechNet . 28/03/2003.
  2. ^ a b "Programa de certificação raiz SSL do Windows e Windows Phone 8 (CAs membros)" . Microsoft TechNet . Outubro de 2014.
  3. ^ "476766 - Adicionar Certificado de Raiz CA do Centro de Informações de Rede da Internet da China (CNNIC)" . bugzilla.mozilla.org . Arquivado do original em 2020-02-22 . Obtido em 2020-01-03 .
  4. ^ "CNNIC 发行 的 中级 CA 发行 了 Google 的 假 证书" . solidot . 24/03/2015. Arquivado do original em 26/03/2015 . Página visitada em 2015-03-24 .
  5. ^ "最 危险 的 互联网 漏洞 正在 逼近" . Arquivado do original em 21/11/2015 . Retirado 2015-03-26 .
  6. ^ "Google Bans China's Website Certificate Authority After Security Breach" (2 de abril de 2015). Extra Crunch.
  7. ^ "谷 歌 不再 承認 中國 CNNIC 頒發 的 信任 證書" .華爾街 日報. 03-04-2015 . Retirado 2015-04-03 .
  8. ^ "谷 歌 不再 信任 中国 CNNIC 的 网站 信任 证书" .美國之音. 03-04-2015 . Retirado 2015-04-03 .
  9. ^ "Google e Mozilla decidem banir a autoridade de certificação chinesa CNNIC do Chrome e do Firefox" . VentureBeat. 2 de abril de 2015.
  10. ^ "Mozilla 紧随 谷 歌 拒绝 承认 中国 安全 证书" .美國之音. 04-04-2015 . Retirado 2015-04-04 .
  11. ^ "谷 歌 宣布 开始 全面封杀 使用 沃 通 CA 证书 网站, 信誉 破产 的 恶果 - 超 能 网" . www.expreview.com . Obtido em 2020-01-03 .
  12. ^ "CA: Problemas do WoSign - MozillaWiki" . wiki.mozilla.org . Obtido em 2020-01-03 .
  13. ^ Stephen Schrauger. "A história de como WoSign me deu um certificado SSL para GitHub.com" . Schrauger.com .
  14. ^ Equipe de pesquisa de segurança do Microsoft Defender (08/08/2017). "Microsoft removerá certificados WoSign e StartCom no Windows 10" . Microsoft.
  15. ^ "Os certificados Toxic Root-CA do WoSign e StartCom ainda estão ativos no Windows 10" . Informações do Windows Phone .