根憑證
維基百科,自由的 encyclopedia
在密碼學和電腦安全領域,根憑證(root certificate)是屬於根憑證頒發機構(CA)的公鑰憑證,是在公開金鑰基礎建設中,信任鏈的起點(英語:Trust anchor)[1]。憑證頒發機構的角色有如現實世界中的公證行,保證網路世界中電子憑證持有人的身分。具體作法是透過中介憑證,利用數位簽章為多個客戶簽發多個不同的終端實體憑證,形成一個以其根憑證為頂層的樹狀結構,在此傳遞關係中所有下層憑證都會因為根憑證可被信賴而繼承信任基礎。
根憑證沒有上層機構再為其本身作數位簽章,所以都是自簽憑證。許多應用軟體(例如作業系統、網頁瀏覽器)會預先安裝可被信任的根憑證,這代表使用者授權了應用軟體代為審核哪些根憑證機構屬於可靠,例如是公認可靠的政府機關(如香港郵政[2])、專職機構(如Google[3]、Let's Encrypt、CAcert.org、Comodo、DigiCert、GlobalSign)等。應用軟體在建立安全連接時,例如使用網頁瀏覽器造訪一個網站,會執行認證路徑驗證演算法(英語:Certification path validation algorithm),使用該主機提供的電子憑證,驗證是否能夠對應到預先安裝的根憑證,從而驗證從根憑證到終端節點的路徑是否為一條有效的信任鏈,確保TLS安全連接中的身分。但是,這意味著使用者信任瀏覽器的發布商、它所預先安裝的憑證頒發機構,以及這些憑證頒發機構可能頒發的所有中間憑證頒發機構,相信他們忠誠地確保各憑證持有人的身分和意圖。