Vad är rotcertifikat och varför spelar de roll?

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Rotcertifikat är en av grundpelarna för internetsäkerhet. De är grunden för att validera webbplatsens identitet genom SSL/TLS certifikat, tillhandahållande av digitala signaturer och mer. Men exakt hur fungerar de, och varför är de så viktiga? Den här artikeln kommer att förklara allt du behöver veta om rotcertifikat.

Vad är ett rotcertifikat?

Ett rotcertifikat är ett speciellt digitalt certifikat som utfärdats och digitalt signerats av en certifikatutfärdare (CA) såsom SSL.com. Det representerar den högsta nivån av förtroende i en certifikathierarki. Rotcertifikat kallas ibland för förtroendeankare eftersom de är den ultimata verifieringskällan för utfärdade certifikat.

När en CA utfärdar ett certifikat till en enhet som en webbplats måste det valideras genom att spåra det tillbaka till en betrodd rot. Rotcertifikatet innehåller den publika nyckel som behövs för att verifiera den förtroendekedjan. Rotcertifikat är vanligtvis självsignerade, vilket innebär att deras signatur genereras med certifikatets egen privata nyckel.

Alla större webbläsare och operativsystem kommer med en förinstallerad uppsättning betrodda rotcertifikat från större certifikatmyndigheter. Detta tillåter dem att automatiskt verifiera SSL/TLS certifikat som används för att säkra och identifiera webbservrar varefter webbläsaren visar att certifikatet är pålitligt och webbservern är säker. På liknande sätt har Adobe ett förtroendelager med rötter som är betrodda för digitala signaturer och Microsoft har ett förtroendelager med rötter som är betrodda för kodsigneringssignaturer.

Hierarki av tillit

Rotcertifikatutfärdare är överst i en certifieringshierarki som går ner i mellancertifikat och slutenhetscertifikat:

  • Rotcertifikat som SSL.com's – självsignerad rot, representerar ultimat förtroende.
  • Mellanliggande certifikat – signerade av rot-CA.
  • Slutenhetscertifikat – utfärdade till användare och servrar, signerade av mellanhänder

Genom att separera uppgifter kan mellanliggande certifikatutfärdare, även kända som "utfärdande certifikatutfärdare" utfärda certifikat dagligen utan att komma åt de mycket skyddade rotnycklarna. Rotnycklarna kan hållas offline och används endast ibland för att generera mellanliggande CA och andra specialcertifikat, som tidsstämpling eller CRL.

När en mellanliggande myndighet utfärdar ett digitalt certifikat innehåller det den utfärdande CA-signaturen och en kedja av certifikat som länkar tillbaka till roten. Denna kedja följs för att verifiera slutcertifikatet.

Rotcertifikatens betydelse och funktion

Rotcertifikat fyller flera viktiga funktioner:

  1. Förtroendeankare – De är förtroendeankaret som etablerar en förtroendekedja. Alla certifikat utfärdade av PKI kan valideras genom att spåra tillbaka till roten.
  2. Säker webbsurfning – möjliggör säkra HTTPS-anslutningar. Webbläsare verifierar webbplatscertifikat genom att koppla ihop dem till en pålitlig rot.
  3. Verifiera programvara – Används för att autentisera digitalt signerad programvara som OS-uppdateringar, appar, verktyg etc. Signaturer kontrolleras mot roten.
  4. Kryptera kommunikation – Tillåter säker e-post och dataöverföring genom att aktivera kryptering parad med rotens signatur.
  5. Utan rotcertifikat skulle det inte finnas någon centraliserad mekanism för att skapa förtroende för certifikat och publika nycklar. De tillhandahåller den auktoritativa förtroendekällan som ligger till grund för kryptografi med offentlig nyckel.

Stora rotcertifikatutfärdare

Det finns ett 60-tal myndigheter som driver Publicly Trusted Root-certifikatprogram. SSL.com, är ett ledande exempel, fungerar som en rot-CA. Vi använder omfattande valideringsprocedurer innan vi utfärdar mellanliggande CA-certifikat till domänägare som behöver SSL-certifikat. Våra rotnycklar skyddas av hårdvara och mjukvara i säkra anläggningar.

Stora organisationer som Microsoft, Apple, Mozilla och Oracle bestämmer vilka rot-CA:er de kommer att lita på som standard i sin programvara. På liknande sätt har Adobe ett förtroendelager med rötter som är betrodda för att utfärda dokumentsigneringscertifikat vars signaturer erkänns av Adobes läsare som giltiga. Utöver deras webbläsarprogramvara har Microsoft också ett förtroendelager med rötter vars kodsigneringscertifikat är betrodda. En CA som SSL.com måste uppfylla stränga krav för att bli en Publicly Trusted Certification Authority inbäddad i rotbutiker. Genom att agera som en rot-CA kan vi utfärda betrodda certifikat utan att förlita oss på en extern rotbehörighet. Vårt rotcertifikat fungerar som förtroendeankare för vår hierarki.

Säkra din digitala infrastruktur med anpassad PKI Lösningar
För användningsfall som kräver anpassade PKI eller certifikatlivscykelintegrationer, kontakta vårt kundlösningsteam för att diskutera krav.

Webbläsare och rotcertifikat

Webbläsare levereras förinstallerade med en förtroendebutik som innehåller över 100 betrodda rotcertifikat från stora certifikatutfärdare. Detta gör att de kan validera SSL/TLS certifikat som används för HTTPS-webbplatser sömlöst.

När du besöker en webbplats säkrad med SSL/TLS, kommer webbläsaren:

  1. Ta emot webbplatsens certifikat och kedja av mellancertifikat.
  2. Validera förtroendekedjan tillbaka till ett inbyggt pålitligt rotcertifikat.
  3. Kontrollera att domännamnet matchar webbplatscertifikatet.
  4. Visa ikonen för det säkra låset och tillåt en krypterad anslutning.

Det kommer att varna användaren om webbläsaren stöter på ett ogiltigt certifikat, en otillförlitlig rot eller ett domännamn som inte matchar.

Webbläsare har också certifikathanteringsverktyg för att visa rotcertifikatutfärdare och fatta förtroendebeslut. Chrome, Firefox, Edge och Safari tillåter användare att visa, exportera eller inaktivera rotcertifikat.

Installera och hantera rotcertifikat

Även om operativsystem och webbläsare kommer med förinstallerade rötter, kan du behöva installera ytterligare rotcertifikat i vissa fall:

  • Att lita på ditt företags privata PKI certifikatkedja
  • Om du använder en ny eller obekant certifikatutfärdare
  • Vid felsökning av "otillförlitligt certifikat"-fel

Rotcertifikat kan installeras globalt på OS-nivå eller lokalt på webbläsar- eller applikationsnivå. På Windows hanterar certifikathanteraren betrodda rötter. På Mac finns rötter i Keychain Access. I Linux går de under /etc/ssl. SSL.com tillhandahåller sina rot- och mellancertifikat för nedladdning på vår webbplats.

När du installerar en ny rot är det viktigt att verifiera att den är giltig och kommer från en ansedd källa. När de har installerats kan ogiltiga eller komprometterade rötter inte litas på eller tas bort. Men att återkalla förtroendet för en större offentlig rot kan orsaka omfattande programbrott.

Upphörande och förnyelse av rotcertifikat

Rotcertifikat har lång livslängd på 20 år eller mer. Men de upphör ändå i slutändan av säkerhetsskäl. När rötter närmar sig utgången måste CA:er rulla ut nya rötter och övergå användare och programvara för att lita på de nya nycklarna.

Några effekter av utgående, gamla eller otillförlitliga rotcertifikat inkluderar:

  • Ogiltiga certifikatvarningar i webbläsare
  • Brutna certifikatkedjor som orsakar anslutningsfel
  • Programvaran kan inte validera signaturkontroller

Bästa metoder för att hantera rotförfall inkluderar:

  • Förnya rotnycklar på en lång tidsram med överlappning
  • Använda parallella rötter och överlappande giltighetsperioder
  • Få nya rötter distribuerade i klientprogramvaruuppdateringar
  • Återkalla/ta bort gamla rötter efter att övergången är klar

Korrekt hantering av rotcertifikatets livscykel är avgörande för att undvika störningar i pålitlig kommunikation och programvaruverifiering.

Skydda rotcertifikatnycklar

På grund av deras grundläggande roll för att skapa förtroende måste de privata nycklar som är associerade med rotcertifikat vara extremt högt skyddade. Branschstandarder rekommenderar:

  • Hålla nycklar offline i säker lagring som en hårdvarusäkerhetsmodul (HSM)
  • Upprätthålla utarbetad fysisk säkerhet och mjukvarusäkerhet
  • Åtkomst endast när det behövs, med hjälp av kontroller för flera parter
  • Hantera nycklar endast inom säkra kryptografiska moduler
  • Ta bort privata nycklar helt när det inte längre behövs

Att följa strikta nyckelceremoniprocedurer och separering av arbetsuppgifter för rot-CA:er skyddar PKI lita på ankare från kompromiss.

SSL.com:s betrodda rot

Rotcertifikat utgör grunden för förtroende för att säkra kommunikation och transaktioner över internet. De etablerar de garantikedjor som ligger till grund för offentlig nyckelinfrastruktur. Genom att förankra certifikatmyndighetshierarkier och distribuera betrodda rotlager möjliggör de storskalig användning av SSL/TLS, kodsignering, enhetsautentisering och andra viktiga säkerhetstekniker. Därför är hantering av rotnycklar och certifikat ett av de viktigaste ansvarsområdena i det digitala certifikatets ekosystem. Som en ledande certifikatutfärdare driver SSL.com sin egen rot-CA och utfärdar certifikat kopplade till större rotprogram. Med 20+ års erfarenhet som en pålitlig CA, följer SSL.com branschens bästa praxis för att generera, hantera och skydda rotnycklar. Besök vår Sidan SSL-certifikat idag för att lära dig mer och få ditt säkra SSL-certifikat från en beprövad myndighet som du kan lita på.

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.