گواهی ریشه

در رمزنگاری و امنیت رایانه، گواهی ریشه یک گواهی کلید عمومی است که مرجع صدور گواهی (CA) را شناسایی می‌کند.^[۱] گواهی‌های ریشه خودامضا هستند (و ممکن است یک گواهی چندین مسیر اعتماد داشته باشد، برای مثال گواهی ای که توسط ریشه‌ای صادر شده باشد که دارای امضای متقاطع است). گواهی‌های ریشه اساس زیرساخت کلید عمومی (PKI) مبتنی بر X.509 را تشکیل می‌دهند. شناسه کلید مرجع می‌تواند با شناسه کلید موضوع مطابقت داشته باشد؛ که در برخی موارد هیچ شناسه کلید مرجعی وجود ندارد، پس رشته صادرکننده باید با رشته موضوع مطابقت داشته باشد (RFC 5280). برای مثال، PKIهایی که از HTTPS^[۲] برای مرور ایمن وب و طرح‌های امضای الکترونیکی پشتیبانی می‌کنند، به مجموعه‌ای از گواهی‌های ریشه بستگی دارند.

یک مرجع گواهی می‌تواند چندین گواهی را در قالب یک ساختار درختی صادر کند. گواهی ریشه که دارای بالاترین رتبه در این درخت است، کلید خصوصی ایست که برای "امضاً گواهی‌های دیگر استفاده می‌شود. همه گواهی‌هایی که توسط گواهی ریشه امضا شده‌اند، با فیلد "CA" که روی true تنظیم شده‌است، اعتبار آن گواهی ریشه را به ارث می‌برند - امضای یک گواهی ریشه تا حدودی مشابه موضوع "تأثیر اسناد رسمی" در دنیای فیزیکی است. به چنین گواهینامه ای گواهی میانی یا گواهی CA فرعی گفته می‌شود. گواهینامه‌ها در رتبه‌های پایین درخت نیز به قابل اعتماد بودن واسطه‌ها بستگی دارند.

گواهی ریشه معمولاً توسط مکانیسمی به غیر از فقط یک گواهینامه، مورد اعتماد واقع می‌شود. مانند توزیع فیزیکی ایمن. به عنوان مثال، برخی از شناخته شده‌ترین گواهینامه‌های ریشه در سیستم عامل‌ها توسط سازندگان آنها توزیع می‌شوند. مایکروسافت گواهی‌های ریشه متعلق به اعضای برنامه Microsoft Root Certificate را در رایانه‌های رومیزی ویندوز و ویندوز فون ۸ توزیع می‌کند. اپل نیز گواهینامه‌های ریشه متعلق به اعضای برنامه ریشه خود را توزیع می‌کند.

حوادث سوء استفاده از گواهی ریشه

هک دیجی نوتار در سال ۲۰۱۱

در سال ۲۰۱۱، مرجع گواهی هلندی دیجی نوتار دچار یک نقض امنیتی شد. این امر به صدور گواهینامه‌های تقلبی مختلف منجر شد که از این گواهینامه‌ها برای هدف قرار دادن کاربران ایرانی جیمیل استفاده شد. گواهینامه‌های دیجی نوتار دیگر قابل اعتماد نبودند؛ در نهایت مدیریت عملیاتی شرکت به عهده دولت هلند واگذار شد.

مرکز اطلاعات شبکه اینترنت چین (CNNIC) صدور گواهی‌های جعلی

در سال ۲۰۰۹، یکی از کارمندان مرکز اطلاعات شبکه اینترنتی چین (CNNIC) از موزیلا درخواست کرد تا CNNIC را به لیست گواهی ریشه موزیلا^[۳] اضافه کند و البته مورد تأیید قرار گرفت. بعدها، مایکروسافت نیز CNNIC را به لیست گواهی ریشه ویندوز اضافه کرد.

منابع

↑ "What Are CA Certificates?". Microsoft TechNet. 2003-03-28.
↑ "Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)". Microsoft TechNet. October 2014.^{^{[پیوند مرده]}}
↑ "476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate". bugzilla.mozilla.org (به انگلیسی). Archived from the original on 2020-02-22. Retrieved 2020-01-03.

[1] "What Are CA Certificates?". Microsoft TechNet. 2003-03-28.

[:0-2] "Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)". Microsoft TechNet. October 2014.^{^{[پیوند مرده]}}

[3] "476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate". bugzilla.mozilla.org (به انگلیسی). Archived from the original on 2020-02-22. Retrieved 2020-01-03.

[۱]

[۲]

[۳]