根證書
維基百科,自由的 encyclopedia
在密碼學和電腦安全領域,根證書(root certificate)是屬於根證書頒發機構(CA)的公鑰證書,是在公開金鑰基礎建設中,信任鏈的起點(英語:Trust anchor)[1]。證書頒發機構的角色有如現實世界中的公證行,保證網絡世界中電子證書持有人的身份。具體作法是透過中介證書,利用數碼簽章為多個客戶簽發多個不同的終端實體證書,形成一個以其根證書為頂層的樹狀結構,在此傳遞關係中所有下層證書都會因為根證書可被信賴而繼承信任基礎。
根證書沒有上層機構再為其本身作數碼簽章,所以都是自簽證書。許多應用軟件(例如作業系統、網頁瀏覽器)會預先安裝可被信任的根證書,這代表用戶授權了應用軟件代為審核哪些根證書機構屬於可靠,例如是公認可靠的政府機關(如香港郵政[2])、專職機構(如Google[3]、Let's Encrypt、CAcert.org、Comodo、DigiCert、GlobalSign)等。應用軟件在建立安全連接時,例如使用網頁瀏覽器造訪一個網站,會執行認證路徑驗證演算法(英語:Certification path validation algorithm),使用該主機提供的電子證書,驗證是否能夠對應到預先安裝的根證書,從而驗證從根證書到終端節點的路徑是否為一條有效的信任鏈,確保TLS安全連接中的身份。但是,這意味着用戶信任瀏覽器的發佈商、它所預先安裝的證書頒發機構,以及這些證書頒發機構可能頒發的所有中間證書頒發機構,相信他們忠誠地確保各證書持有人的身份和意圖。