Hva er rotsertifikater, og hvorfor er de viktige?

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

Rotsertifikater er en av grunnpilarene i internettsikkerhet. De er grunnlaget for å validere identiteten til nettsteder gjennom SSL/TLS sertifikater, levere digitale signaturer og mer. Men hvordan fungerer de, og hvorfor er de så viktige? Denne artikkelen vil forklare alt du trenger å vite om rotsertifikater.

Hva er et rotsertifikat?

Et rotsertifikat er et spesielt digitalt sertifikat utstedt og digitalt signert av en sertifiseringsinstans (CA) som SSL.com. Det representerer det øverste nivået av tillit i et sertifikathierarki. Rotsertifikater kalles noen ganger tillitsankere fordi de er den ultimate kilden til bekreftelse for utstedte sertifikater.

Når en CA utsteder et sertifikat til en enhet som et nettsted, må det valideres ved å spore det tilbake til en pålitelig rot. Rotsertifikatet inneholder den offentlige nøkkelen som trengs for å bekrefte denne tillitskjeden. Rotsertifikater er vanligvis selvsignerte, noe som betyr at signaturen deres genereres med sertifikatets egen private nøkkel.

Alle større nettlesere og operativsystemer kommer med et forhåndsinstallert sett med pålitelige rotsertifikater fra store sertifikatmyndigheter. Dette lar dem automatisk bekrefte SSL/TLS sertifikater som brukes til å sikre og identifisere webservere, hvoretter nettleseren viser at sertifikatet er klarert og webserveren er sikret. På samme måte opprettholder Adobe et tillitslager med røtter som er klarert for digitale signaturer, og Microsoft opprettholder et tillitslager med røtter som er klarert for kodesigneringssignaturer.

Hierarki av tillit

Rot-CAer er på toppen av et sertifiseringshierarki som går over i mellomsertifikater og endeenhetssertifikater:

  • Rotsertifikater som SSL.com's – selvsignert rot, representerer den ultimate tilliten.
  • Mellomliggende sertifikater – signert av rot-CA.
  • Sluttenhetssertifikater – utstedt til brukere og servere, signert av mellomledd

Ved å adskille oppgaver kan mellomliggende CAer, også kjent som "utstedende CAer" utstede sertifikater daglig uten tilgang til de svært beskyttede rotnøklene. Rotnøklene kan holdes offline og brukes bare av og til for å generere mellomliggende CA-er og andre spesialitetssertifikater, som tidsstempling eller CRL-er.

Når en mellominstans utsteder et digitalt sertifikat, inneholder det den utstedende CA-signaturen og en kjede med sertifikater som kobler tilbake til roten. Denne kjeden følges for å verifisere sluttsertifikatet.

Viktigheten og funksjonen til rotsertifikater

Rotsertifikater har flere viktige funksjoner:

  1. Tillitsanker – De er tillitsankeret som etablerer en tillitskjede. Alle sertifikater utstedt av PKI kan valideres ved å spore tilbake til roten.
  2. Sikker nettsurfing – Aktiverer sikre HTTPS-tilkoblinger. Nettlesere bekrefter nettstedssertifikater ved å lenke dem til en pålitelig rot.
  3. Verifiser programvare – Brukes til å autentisere digitalt signert programvare som OS-oppdateringer, apper, verktøy osv. Signaturer sjekkes mot roten.
  4. Krypter kommunikasjon – Tillater sikker e-post og dataoverføring ved å aktivere kryptering sammenkoblet med rotens signatur.
  5. Uten rotsertifikater ville det ikke vært noen sentralisert mekanisme for å etablere tillit for sertifikater og offentlige nøkler. De gir den autoritative tillitskilden som ligger til grunn for offentlig nøkkelkryptografi.

Store rotsertifikatmyndigheter

Det er rundt 60 myndigheter som driver offentlig pålitelige rotsertifikatprogrammer. SSL.com, er et ledende eksempel, og fungerer som en rot-CA. Vi bruker omfattende valideringsprosedyrer før vi utsteder mellomliggende CA-sertifikater til domeneeiere som trenger SSL-sertifikater. Rotnøklene våre er beskyttet av maskinvare og programvare i sikre fasiliteter.

Store organisasjoner som Microsoft, Apple, Mozilla og Oracle bestemmer hvilke rot-CAer de vil stole på som standard i programvaren deres. Tilsvarende har Adobe et tillitslager med røtter som er klarert for å utstede dokumentsigneringssertifikater hvis signaturer anerkjennes av Adobe-lesere som gyldige. I tillegg til nettleserprogramvaren, har Microsoft også et tillitslager med røtter hvis kodesigneringssertifikater er klarert. En CA som SSL.com må oppfylle strenge krav for å bli en offentlig godkjent sertifiseringsinstans innebygd i rotbutikker. Ved å opptre som en rot-CA kan vi utstede klarerte sertifikater uten å stole på en ekstern rotautoritet. Rotsertifikatet vårt fungerer som tillitsankeret for hierarkiet vårt.

Sikre din digitale infrastruktur med tilpasset PKI Solutions
For brukstilfeller som krever tilpasset PKI eller sertifikatlivssyklusintegrasjoner, ta kontakt med vårt kundeløsningsteam for å diskutere krav.

Nettlesere og rotsertifikater

Nettlesere leveres forhåndslastet med et tillitslager som inneholder over 100 pålitelige rotsertifikater fra store CAer. Dette lar dem validere SSL/TLS sertifikater som brukes for HTTPS-nettsteder sømløst.

Når du besøker et nettsted sikret med SSL/TLS, vil nettleseren:

  1. Motta nettstedets sertifikat og kjede av mellomsertifikater.
  2. Valider tillitskjeden tilbake til et innebygd pålitelig rotsertifikat.
  3. Sjekk at domenenavnet samsvarer med nettstedsertifikatet.
  4. Vis ikonet for sikker lås og tillat en kryptert tilkobling.

Den vil advare brukeren hvis nettleseren støter på et ugyldig sertifikat, en uklarert rot eller et domenenavn som ikke samsvarer.

Nettlesere har også sertifikatadministrasjonsverktøy for å vise rot-CAer og ta tillitsbeslutninger. Chrome, Firefox, Edge og Safari lar brukere se, eksportere eller deaktivere rotsertifikater.

Installere og administrere rotsertifikater

Selv om OS og nettlesere kommer med forhåndsinstallerte røtter, kan det hende du må installere flere rotsertifikater i noen tilfeller:

  • Å stole på bedriftens private PKI sertifikatkjede
  • Hvis du bruker en ny eller ukjent sertifiseringsinstans
  • Ved feilsøking av "ikke-klarert sertifikat"-feil

Rotsertifikater kan installeres globalt på OS-nivå eller lokalt på nettleser- eller applikasjonsnivå. På Windows håndterer Certificate Manager klarerte røtter. På Mac er røtter plassert i nøkkelringtilgang. I Linux går de under /etc/ssl. SSL.com tilbyr rot- og mellomsertifikater for nedlasting på nettstedet vårt.

Når du installerer en ny rot, er det viktig å bekrefte at den er gyldig og kommer fra en anerkjent kilde. Når de er installert, kan ugyldige eller kompromitterte røtter ikke klareres eller slettes. Å oppheve tilliten til en større offentlig rot kan imidlertid føre til omfattende programbrudd.

Utløp og fornyelse av rotsertifikater

Rotsertifikater har lang levetid på 20 år eller mer. Men de utløper likevel til slutt av sikkerhetsgrunner. Ettersom røtter nærmer seg utløp, må CA-er rulle ut nye røtter og overføre brukere og programvare for å stole på de nye nøklene.

Noen konsekvenser av utløpende, gamle eller uklarerte rotsertifikater inkluderer:

  • Ugyldige sertifikatadvarsler i nettlesere
  • Ødelagte sertifikatkjeder som forårsaker tilkoblingsfeil
  • Programvare kan ikke validere signatursjekker

Beste fremgangsmåter for å administrere rotutløp inkluderer:

  • Fornyer rotnøkler på en lang tidsramme med overlapping
  • Bruk av parallelle røtter og overlappende gyldighetsperioder
  • Få nye røtter distribuert i klientprogramvareoppdateringer
  • Oppheve/fjerne gamle røtter etter at overgangen er fullført

Riktig livssyklusadministrasjon av rotsertifikater er avgjørende for å unngå forstyrrelser i pålitelig kommunikasjon og programvareverifisering.

Beskytter rotsertifikatnøkler

På grunn av deres grunnleggende rolle i å etablere tillit, må de private nøklene knyttet til rotsertifikater være ekstremt godt beskyttet. Bransjestandarder anbefaler:

  • Holde nøkler offline i sikker lagring som en maskinvaresikkerhetsmodul (HSM)
  • Opprettholde forseggjort fysisk og programvaresikkerhet
  • Får bare tilgang når det er nødvendig, ved hjelp av flerpartskontroller
  • Administrere nøkler kun innenfor sikre kryptografiske moduler
  • Sletter private nøkler fullstendig når det ikke lenger er nødvendig

Å følge strenge nøkkelseremoniprosedyrer og separasjon av oppgaver for rot-CA-er beskytter PKI tillit anker fra kompromiss.

SSL.coms pålitelige rot

Rotsertifikater danner grunnlaget for tillit for å sikre kommunikasjon og transaksjoner over internett. De etablerer kjedene av sikkerhet som underbygger offentlig nøkkelinfrastruktur. Gjennom å forankre sertifikatmyndighetshierarkier og distribuere pålitelige rotlagre, muliggjør de bred bruk av SSL/TLS, kodesignering, enhetsautentisering og andre kritiske sikkerhetsteknologier. Derfor er administrasjon av rotnøkler og sertifikater et av de viktigste ansvarsområdene i det digitale sertifikatøkosystemet. Som en ledende sertifiseringsinstans driver SSL.com sin egen rot-CA og utsteder sertifikater knyttet til store rotprogrammer. Med 20+ års erfaring som en pålitelig CA, følger SSL.com bransjens beste praksis for å generere, administrere og beskytte rotnøkler. Besøk vår SSL-sertifikatsiden i dag for å lære mer og få ditt sikre SSL-sertifikat fra en velprøvd myndighet du kan stole på.

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.