Os certificados raiz são um dos pilares da segurança da internet. Eles são a base para validar a identidade de sites por meio de SSL/TLS certificados, fornecimento de assinaturas digitais e muito mais. Mas como exatamente eles funcionam e por que são tão importantes? Este artigo explicará tudo o que você precisa saber sobre certificados raiz.
O que é um certificado raiz?
Um certificado raiz é um certificado digital especial emitido e assinado digitalmente por uma Autoridade Certificadora (CA) como SSL.com. Ele representa o nível mais alto de confiança em uma hierarquia de certificados. Os certificados raiz são às vezes chamados de âncoras de confiança porque são a fonte final de verificação para certificados emitidos.
Quando uma CA emite um certificado para uma entidade como um site, ele deve ser validado rastreando-o de volta a uma raiz confiável. O certificado raiz contém a chave pública necessária para verificar essa cadeia de confiança. Os certificados raiz são normalmente autoassinados, o que significa que sua assinatura é gerada com a própria chave privada do certificado.
Todos os principais navegadores da web e sistemas operacionais vêm com um conjunto pré-instalado de certificados raiz confiáveis das principais autoridades de certificação. Isso permite que eles verifiquem automaticamente SSL/TLS certificados usados para proteger e identificar servidores web após os quais o navegador exibe que o certificado é confiável e o servidor web é protegido. Da mesma forma, a Adobe mantém um armazenamento confiável de raízes que são confiáveis para assinaturas digitais e a Microsoft mantém um armazenamento confiável de raízes que são confiáveis para assinaturas de assinatura de código.
Hierarquia de Confiança
As CAs raiz estão no topo de uma hierarquia de certificação que desce em cascata para certificados intermediários e certificados de entidade final:
- Certificados raiz como o SSL.com – raiz autoassinada, representam confiança máxima.
- Certificados intermediários – assinados pela CA raiz.
- Certificados de entidade final – emitidos para usuários e servidores, assinados por intermediários
Ao segregar tarefas, CAs intermediárias, também conhecidas como “CAs emissoras”, podem emitir certificados diariamente sem acessar as chaves raiz altamente protegidas. As chaves raiz podem ser mantidas offline e são usadas apenas ocasionalmente para gerar CAs intermediárias e outros certificados especializados, como carimbos de data/hora ou CRLs.
Quando uma autoridade intermediária emite um certificado digital, ele contém a assinatura da CA emissora e uma cadeia de certificados que se vinculam de volta à raiz. Essa cadeia é seguida para verificar o certificado final.
Importância e função dos certificados raiz
Os certificados raiz desempenham diversas funções cruciais:
- Âncora de confiança – São as âncoras de confiança que estabelecem uma cadeia de confiança. Todos os certificados emitidos pela PKI pode ser validado rastreando até a Raiz.
- Navegação Segura na Web – Habilita conexões HTTPS seguras. Os navegadores verificam certificados de sites encadeando-os a uma Raiz confiável.
- Verificar software – Usado para autenticar software assinado digitalmente, como atualizações de sistema operacional, aplicativos, utilitários, etc. As assinaturas são verificadas em relação à raiz.
- Criptografar comunicação – Permite transferência segura de e-mails e dados ao habilitar a criptografia pareada com a assinatura do root.
- Sem certificados Root, não haveria mecanismo centralizado para estabelecer confiança para certificados e chaves públicas. Eles fornecem a fonte de confiança autoritativa que sustenta a criptografia de chave pública.
Principais Autoridades Certificadoras Raiz
Há cerca de 60 autoridades que operam programas de certificado raiz publicamente confiáveis. SSL.com é um exemplo líder, atuando como uma CA raiz. Usamos procedimentos de validação extensivos antes de emitir certificados CA intermediários para proprietários de domínio que precisam de certificados SSL. Nossas chaves raiz são protegidas por hardware e software em instalações seguras.
Grandes organizações como Microsoft, Apple, Mozilla e Oracle decidem em quais CAs raiz confiarão por padrão em seus softwares. Da mesma forma, a Adobe tem um repositório confiável de raízes confiáveis para emitir certificados de assinatura de documentos cujas assinaturas são reconhecidas pelos leitores da Adobe como válidas. Além do software do navegador, a Microsoft também mantém um repositório confiável de raízes cujos certificados de assinatura de código são confiáveis. Uma CA como SSL.com deve atender a requisitos rigorosos para se tornar uma Autoridade de Certificação Publicamente Confiável incorporada em repositórios raiz. Ao atuar como uma CA raiz, podemos emitir certificados confiáveis sem depender de uma autoridade raiz externa. Nosso certificado raiz serve como âncora de confiança para nossa hierarquia.
Navegadores e certificados raiz
Os navegadores da Web vêm pré-carregados com um trust store contendo mais de 100 certificados raiz confiáveis das principais CAs. Isso permite que eles validem SSL/TLS certificados usados para sites HTTPS perfeitamente.
Quando você visita um site protegido com SSL/TLS, o navegador irá:
- Receba o certificado do site e a cadeia de certificados intermediários.
- Valide a cadeia de confiança de volta para um certificado raiz confiável integrado.
- Verifique se o nome de domínio corresponde ao certificado do site.
- Exiba o ícone de cadeado seguro e permita uma conexão criptografada.
Ele avisará o usuário se o navegador encontrar um certificado inválido, uma raiz não confiável ou uma incompatibilidade de nome de domínio.
Os navegadores também têm ferramentas de gerenciamento de certificados para visualizar CAs raiz e tomar decisões de confiança. Chrome, Firefox, Edge e Safari permitem que os usuários visualizem, exportem ou desabilitem certificados raiz.
Instalando e gerenciando certificados raiz
Embora os sistemas operacionais e navegadores venham com raízes pré-instaladas, pode ser necessário instalar certificados raiz adicionais em alguns casos:
- Para confiar nos dados privados da sua empresa PKI cadeia de certificados
- Se estiver usando uma autoridade de certificação nova ou desconhecida
- Ao solucionar erros de “certificado não confiável”
Os certificados raiz podem ser instalados globalmente no nível do SO ou localmente no nível do navegador ou do aplicativo. No Windows, o Certificate Manager lida com raízes confiáveis. No Mac, as raízes estão localizadas no Keychain Access. No Linux, elas ficam em /etc/ssl. O SSL.com fornece seus certificados raiz e intermediários para download em nosso site.
Ao instalar uma nova raiz, é importante verificar se ela é válida e se vem de uma fonte confiável. Uma vez instaladas, raízes inválidas ou comprometidas podem ser desconfiáveis ou excluídas. No entanto, revogar a confiança em uma raiz pública importante pode causar quebra generalizada do aplicativo.
Expiração e renovação de certificados raiz
Os certificados raiz têm uma vida útil longa de 20 anos ou mais. Mas eles ainda expiram por motivos de segurança. Conforme as raízes se aproximam da expiração, as CAs devem lançar novas raízes e fazer a transição de usuários e softwares para confiar nas novas chaves.
Alguns impactos de certificados raiz expirados, antigos ou não confiáveis incluem:
- Avisos de certificado inválido em navegadores
- Cadeias de certificados quebradas causando erros de conexão
- Software incapaz de validar verificações de assinatura
As melhores práticas para gerenciar a expiração de raiz incluem:
- Renovação de chaves raiz em um longo período de tempo com sobreposição
- Usando raízes paralelas e períodos de validade sobrepostos
- Obtendo novas raízes distribuídas em atualizações de software do cliente
- Revogar/remover raízes antigas após a conclusão da transição
O gerenciamento adequado do ciclo de vida do certificado raiz é crucial para evitar interrupções na comunicação confiável e na verificação de software.
Protegendo chaves de certificado raiz
Devido ao seu papel fundamental no estabelecimento de confiança, as chaves privadas associadas aos certificados raiz devem ser extremamente protegidas. Os padrões da indústria recomendam:
- Manter as chaves offline em armazenamento seguro, como um módulo de segurança de hardware (HSM)
- Manter segurança física e de software elaborada
- Acessando somente quando necessário, usando controles multipartidários
- Gerenciando chaves somente dentro de módulos criptográficos seguros
- Excluindo chaves privadas completamente quando não forem mais necessárias
Seguindo procedimentos rigorosos de cerimônia de chave e separação de funções para CAs raiz, protege-se a PKI confiança âncora de compromisso.