Cosa sono i certificati radice e perché sono importanti?

Contenuto relativo

Vuoi continuare a imparare?

Iscriviti alla newsletter di SSL.com, rimani informato e sicuro.

I certificati radice sono uno dei pilastri della sicurezza di Internet. Sono la base per la convalida dell'identità dei siti Web tramite SSL/TLS certificati, fornitura di firme digitali e altro ancora. Ma come funzionano esattamente e perché sono così importanti? Questo articolo spiegherà tutto ciò che devi sapere sui certificati radice.

Che cos'è un certificato radice?

Un certificato radice è uno speciale certificato digitale emesso e firmato digitalmente da una Certificate Authority (CA) come SSL.com. Rappresenta il livello di attendibilità più alto in una gerarchia di certificati. I certificati radice sono talvolta chiamati trust anchor perché sono la fonte ultima di verifica per i certificati emessi.

Quando una CA emette un certificato per un'entità come un sito Web, deve essere convalidato tracciandolo fino a una radice attendibile. Il certificato radice contiene la chiave pubblica necessaria per verificare quella catena di fiducia. I certificati radice sono in genere autofirmati, il che significa che la loro firma è generata con la chiave privata del certificato.

Tutti i principali browser web e sistemi operativi sono dotati di un set preinstallato di certificati radice attendibili delle principali autorità di certificazione. Ciò consente loro di verificare automaticamente SSL/TLS certificati utilizzati per proteggere e identificare i server Web, dopodiché il browser visualizza che il certificato è attendibile e il server Web è protetto. Analogamente, Adobe mantiene un archivio attendibile di root attendibili per le firme digitali e Microsoft mantiene un archivio attendibile di root attendibili per le firme di firma del codice.

Gerarchia della fiducia

Le CA radice sono al vertice di una gerarchia di certificazione che si estende a cascata nei certificati intermedi e nei certificati dell'entità finale:

  • I certificati radice come quello di SSL.com (root autofirmato) rappresentano la massima affidabilità.
  • Certificati intermedi: firmati dalla CA radice.
  • Certificati di entità finale: rilasciati a utenti e server, firmati da intermediari

Separando i compiti, le CA intermedie, note anche come "CA emittenti", possono emettere certificati ogni giorno senza accedere alle chiavi radice altamente protette. Le chiavi radice possono essere conservate offline e vengono utilizzate solo occasionalmente per generare CA intermedie e altri certificati speciali, come timestamp o CRL.

Quando un'autorità intermedia emette un certificato digitale, questo contiene la firma della CA emittente e una catena di certificati che rimanda alla radice. Questa catena viene seguita per verificare il certificato finale.

Importanza e funzione dei certificati radice

I certificati radice svolgono diverse funzioni cruciali:

  1. Trust Anchor – Sono l'ancora di fiducia che stabilisce una catena di fiducia. Tutti i certificati emessi dal PKI può essere convalidato risalendo alla Radice.
  2. Navigazione Web sicura: abilita connessioni HTTPS sicure. I browser verificano i certificati dei siti Web collegandoli a una Root attendibile.
  3. Verifica software: utilizzato per autenticare software firmato digitalmente come aggiornamenti del sistema operativo, app, utilità, ecc. Le firme vengono verificate rispetto alla radice.
  4. Crittografia delle comunicazioni: consente la protezione delle e-mail e del trasferimento dei dati mediante l'attivazione della crittografia abbinata alla firma della radice.
  5. Senza i certificati Root, non ci sarebbe alcun meccanismo centralizzato per stabilire la fiducia per i certificati e le chiavi pubbliche. Essi forniscono la fonte di fiducia autorevole che sostiene la crittografia a chiave pubblica.

Principali autorità di certificazione radice

Ci sono circa 60 autorità che gestiscono programmi di certificati Root Publicly Trusted. SSL.com è un esempio importante, che agisce come Root CA. Utilizziamo procedure di convalida estese prima di rilasciare certificati CA intermedi ai proprietari di domini che necessitano di certificati SSL. Le nostre chiavi root sono protette da hardware e software in strutture sicure.

Le principali organizzazioni come Microsoft, Apple, Mozilla e Oracle decidono quali Root CA considerare attendibili per impostazione predefinita nel loro software. Analogamente, Adobe ha un trust store di root attendibili per emettere certificati di firma di documenti le cui firme sono riconosciute dai lettori Adobe come valide. Oltre al software del browser, Microsoft gestisce anche un trust store di root i cui certificati di firma del codice sono attendibili. Una CA come SSL.com deve soddisfare severi requisiti per diventare un'autorità di certificazione pubblicamente attendibile incorporata negli archivi root. Agendo come Root CA, possiamo emettere certificati attendibili senza fare affidamento su un'autorità root esterna. Il nostro certificato root funge da trust anchor per la nostra gerarchia.

Proteggi la tua infrastruttura digitale con soluzioni personalizzate PKI Soluzioni
Per casi d'uso che richiedono personalizzazione PKI o integrazioni del ciclo di vita dei certificati, contatta il nostro team di soluzioni clienti per discutere delle tue esigenze.

Browser e certificati radice

I browser Web sono precaricati con un trust store contenente oltre 100 certificati radice attendibili delle principali CA. Ciò consente loro di convalidare SSL/TLS certificati utilizzati per i siti web HTTPS senza problemi.

Quando visiti un sito web protetto con SSL/TLS, il browser:

  1. Ricevi il certificato del sito web e la catena di certificati intermedi.
  2. Convalida la catena di fiducia fino a un certificato radice attendibile integrato.
  3. Verificare che il nome di dominio corrisponda al certificato del sito web.
  4. Visualizza l'icona del lucchetto di sicurezza e consente una connessione crittografata.

Avvertirà l'utente se il browser rileva un certificato non valido, una radice non attendibile o una mancata corrispondenza del nome di dominio.

I browser dispongono anche di strumenti di gestione dei certificati per visualizzare le Root CA e prendere decisioni di attendibilità. Chrome, Firefox, Edge e Safari consentono agli utenti di visualizzare, esportare o disabilitare i certificati root.

Installazione e gestione dei certificati radice

Sebbene il sistema operativo e i browser siano dotati di root preinstallati, in alcuni casi potrebbe essere necessario installare certificati root aggiuntivi:

  • Per dare fiducia alla privacy della tua azienda PKI catena di certificati
  • Se si utilizza un'autorità di certificazione nuova o sconosciuta
  • Durante la risoluzione dei problemi relativi agli errori "certificato non attendibile"

I certificati radice possono essere installati globalmente a livello di sistema operativo o localmente a livello di browser o applicazione. Su Windows, Certificate Manager gestisce le radici attendibili. Su Mac, le radici si trovano in Accesso Portachiavi. Su Linux, vanno in /etc/ssl. SSL.com fornisce i suoi certificati radice e intermedi per il download sul nostro sito web.

Quando si installa una nuova root, è importante verificare che sia valida e che provenga da una fonte affidabile. Una volta installate, le root non valide o compromesse possono essere considerate non attendibili o eliminate. Tuttavia, revocare la fiducia in una root pubblica importante può causare un'interruzione diffusa dell'applicazione.

Scadenza e rinnovo dei certificati radice

I certificati root hanno una lunga durata di 20 anni o più. Ma alla fine scadono comunque per motivi di sicurezza. Quando i root sono prossimi alla scadenza, le CA devono implementare nuovi root e far sì che utenti e software si fidino delle nuove chiavi.

Ecco alcuni effetti dei certificati radice in scadenza, vecchi o non attendibili:

  • Avvisi di certificato non valido nei browser
  • Catene di certificati interrotte che causano errori di connessione
  • Il software non è in grado di convalidare i controlli delle firme

Le migliori pratiche per la gestione della scadenza della root includono:

  • Rinnovo delle chiavi radice su un lungo periodo di tempo con sovrapposizione
  • Utilizzo di radici parallele e periodi di validità sovrapposti
  • Ottenere nuove radici distribuite negli aggiornamenti software client
  • Revoca/rimozione delle vecchie radici dopo il completamento della transizione

Una corretta gestione del ciclo di vita del certificato radice è fondamentale per evitare interruzioni nella comunicazione attendibile e nella verifica del software.

Protezione delle chiavi del certificato radice

A causa del loro ruolo fondamentale nell'instaurare la fiducia, le chiavi private associate ai certificati radice devono essere estremamente protette. Gli standard del settore raccomandano:

  • Mantenere le chiavi offline in un archivio sicuro come un modulo di sicurezza hardware (HSM)
  • Mantenere una sicurezza fisica e software elaborata
  • Accesso solo quando necessario, utilizzando controlli multi-parte
  • Gestire le chiavi solo all'interno di moduli crittografici sicuri
  • Eliminazione completa delle chiavi private quando non sono più necessarie

Il rispetto di rigorose procedure di cerimonia delle chiavi e la separazione dei compiti per le CA radice proteggono l' PKI fiducia ancora dal compromesso.

Root attendibile di SSL.com

I certificati radice costituiscono il fondamento della fiducia per la protezione delle comunicazioni e delle transazioni su Internet. Stabiliscono le catene di garanzia che sostengono l'infrastruttura a chiave pubblica. Attraverso l'ancoraggio delle gerarchie delle autorità di certificazione e la distribuzione di archivi radice attendibili, consentono l'uso su larga scala di SSL/TLS, firma del codice, autenticazione del dispositivo e altre tecnologie di sicurezza critiche. Pertanto, la gestione delle chiavi radice e dei certificati è una delle responsabilità più importanti nell'ecosistema dei certificati digitali. In qualità di autorità di certificazione leader, SSL.com gestisce la propria CA radice ed emette certificati concatenati ai principali programmi radice. Con oltre 20 anni di esperienza come CA affidabile, SSL.com segue le best practice del settore nella generazione, gestione e protezione delle chiavi radice. Visita il nostro Pagina dei certificati SSL oggi stesso per saperne di più e ottenere il tuo certificato SSL sicuro da un'autorità comprovata di cui ti puoi fidare.

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.