Root SSL сертификаты

Для всех веб-серверов, необходимо установить первичноый и вторичный SSL Intermediate CA сертификат в соответствии с типом сертификата.

Для веб-серверов Apache или подобных, необходимо всего лишь установить Bundle Intermediate CA в соответствии с вашими типом сертификата.

Most software and devices support chained certificates where there is an intermediate certificate between your certificate and the trusted root certificate and most certificate authorities issue certificates this way for security reasons.

• Offline CA storage provides greater protection of the root's key pair from attacks
• Intermediate roots can be maintained for each unique product and updated without disruption to the customer

При соединении с вебсервером с помощью SSL, браузер пользователя решает, стоит ли доверять сертификату SSL данного сайта, на основании которого источник сертификата (Certification Authority) выпустил фактический сертификат SSL. Для того, чтобы определить это, браузер проверяет собственный список надежных источников, представленных собранием сертификатов Trusted Root CA. добавленных в браузер производителем (например, Microsoft и Netscape).

Наибольшее количество сертификатов SSL выпускаются источниками (Certification Authority), владеющими и использующими свои собственные сертификаты Trusted Root CA. Trusted Root CA известны разработчикам браузеров, как надежные источники сертификатов Эти сертификаты уже добавлены во все популярные браузеры, и следовательно им уже доверяют. Эти сертификаты SSL называют "single root" сертификаты SSL.

Некоторые Сертификационные центры не имеют собственный root, а используют "chained root" для проверки своих сертификатов SSL. Выпускаются так же "chained" сертификаті, которые "наследует" распознавание браузерами Trusted Root CA.. Эти сертификаты SSL известны как "chained root" сертификаты SSL. Некоторые вебсерверы и приложения несовместимы с chained root сертификатами

Для источников сертификатов (Certification Authority) иметь и использовать собственный Trusted Root CA сертификат, уже представленный в браузерах - ясный признак того, что они стабильные и заслуживающие доверия организации, которые имеют долгосрочные связи с производителями браузеров (например, Microsoft и Netscape) для включения своих Trusted Root CA сертификатов. По этой причине, такие источники сертификатов (Certification Authority) выглядят заслуживающими значительно большего доверия и более стабильные, чем провайдеры chained root сертификатов, которые не имеют прямой связи с производителями браузеров, или не используют свои собственные root сертификаты, для выпуска сертификатов SSL. Вы можете просмотреть источники сертификатов (Certification Authority), которые имеют и используют свои собственные root сертификаты в списке вашего браузера.

Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) — это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.

Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает "техническое право" работы и наследует "доверие" от организации, выполнившей аккредитацию. Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами.

Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию.

Центр сертификации ключей имеет право:

• предоставлять услуги по удостоверению сертификатов электронной цифровой подписи
• обслуживать сертификаты открытых ключей
• получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.

Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

• серийный номер сертификата;
• объектный идентификатор алгоритма электронной подписи;
• имя удостоверяющего центра;
• срок годности;
• имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
• открытые ключи владельца сертификата (ключей может быть несколько);
• объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
• электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).