在密碼學(xué)和計算機(jī)安全領(lǐng)域��,根證書是屬于根證書頒發(fā)機(jī)構(gòu)(CA)的公開密鑰證書����,它是公開密鑰基礎(chǔ)設(shè)施中信任鏈的起點。證書頒發(fā)機(jī)構(gòu)的作用就像現(xiàn)實世界中的公證人一樣�,保證電子證書持有人在網(wǎng)絡(luò)世界中的身份。
具體做法是通過中介證書為多個客戶簽發(fā)多個不同的終端實體證書�����,使用數(shù)字簽名��,形成一個以其根證書為頂層的樹狀結(jié)構(gòu)����,這個傳輸關(guān)系中的所有下層證書都繼承了信任基礎(chǔ),因為根證書可以被信任�����。
根證書沒有上層權(quán)限對自己進(jìn)行數(shù)字簽名�����,所以都是自簽的�。許多應(yīng)用程序(如操作系統(tǒng)、網(wǎng)絡(luò)瀏覽器)預(yù)先安裝了受信任的根證書����,這意味著用戶已經(jīng)授權(quán)應(yīng)用程序?qū)彶槟男└C書機(jī)構(gòu)是可靠的,如政府機(jī)構(gòu)�����、專業(yè)組織(如谷歌�����、Let's Encrypt、CAcert.org�、Comodo、DigiCert)等��。
當(dāng)應(yīng)用程序創(chuàng)建安全連接時�,如使用網(wǎng)絡(luò)瀏覽器訪問網(wǎng)站,它們會執(zhí)行認(rèn)證路徑驗證算法���,使用該主機(jī)提供的電子證書來驗證它是否能與預(yù)先安裝的根證書相對應(yīng)�����,從而驗證從根證書到終端節(jié)點的路徑是一個有效的信任鏈���,確保TLS安全連接中的身份。然而��,這意味著用戶信任瀏覽器的發(fā)布者���、其預(yù)裝的證書頒發(fā)機(jī)構(gòu)以及這些證書頒發(fā)機(jī)構(gòu)可能頒發(fā)的所有中間證書頒發(fā)機(jī)構(gòu)�,以忠實地確保各自證書持有人的身份和意圖����。
