hostprofi.ru
Подобрать хостинг
Термин·буква R

Root CA

краткое определение

Root CA (Root Certificate Authority) — доверенный корневой центр сертификации, чей самоподписанный сертификат встроен в операционные системы и браузеры. Вся цепочка доверия SSL/TLS строится от Root CA через промежуточные CA к конечному сертификату сайта.

Root CA (Root Certificate Authority, корневой центр сертификации) — организация, чей самоподписанный X.509-сертификат встроен напрямую в хранилище доверенных сертификатов операционных систем (Windows Trust Store, macOS Keychain, NSS в Firefox/Linux) или браузеров. Root CA — вершина иерархии Public Key Infrastructure (PKI) и единственное, чему клиент доверяет «по умолчанию» без дополнительной проверки.

Иерархия PKI

Типичная трёхуровневая цепочка:

  1. Root CA — корневой сертификат, самоподписанный, хранится офлайн (HSM-устройства в физически защищённых помещениях).
  2. Intermediate CA (промежуточный CA) — подписан Root CA, используется для подписи конечных сертификатов. Серверы HTTPS должны включать цепочку промежуточных CA в свой TLS-ответ.
  3. End-entity certificate — сертификат домена, подписанный промежуточным CA.

Браузер проверяет: является ли Root CA доверенным (есть ли он в Trust Store), непрерывна ли цепочка подписей, не истёк ли срок действия каждого сертификата, не отозван ли сертификат (OCSP).

Крупнейшие Root CA (по объёму выданных сертификатов, данные 2024): DigiCert, IdenTrust (Let's Encrypt использует кросс-подпись через IdenTrust DST Root CA X3, затем перешёл на ISRG Root X1), Sectigo, GlobalSign, Amazon Trust Services, Google Trust Services.

Root CA и безопасность

Root CA никогда не используется для подписи конечных сертификатов напрямую — всегда через промежуточные CA. Причина: если Root CA скомпрометирован, все выданные им сертификаты теряют доверие, а операционные системы должны выпускать обновления. Промежуточный CA можно отозвать (CRL, OCSP) без затрагивания Root. Ключ Root CA хранится на HSM (Hardware Security Module) в строго контролируемых условиях — нередко в физически раздельных дата-центрах.

CAB Forum (Certification Authority/Browser Forum) устанавливает базовые требования к Root CA и их политикам выпуска сертификатов. Все Root CA в Mozilla NSS или Windows Root Certificate Program обязаны соответствовать этим требованиям и проходить ежегодный аудит (WebTrust или ETSI EN 319 411).

История

PKI для интернета возникла в середине 1990-х. VeriSign стал первым крупным публичным CA и одним из первых Root CA, включённых в браузеры Netscape (1995). Скандал с Comodo (2011) и DigiNotar (2011, взлом с выпуском поддельных сертификатов Google, Firefox) показал уязвимость системы и ускорил внедрение Certificate Transparency (CT) логов — публичных журналов всех выданных сертификатов.

На что обращать внимание

Настройка HTTPS на сервере требует корректной цепочки: сертификат домена + промежуточные CA. Если промежуточный CA не включён в ответ сервера — браузер попытается загрузить его по AIA (Authority Information Access), что добавляет задержку. В nginx: директива ssl_certificate должна содержать файл с полной цепочкой (fullchain.pem). Использование самоподписанного сертификата не имеет Root CA в Trust Store браузеров — это вызывает предупреждение. Для внутренних систем нужен либо корпоративный Root CA (добавленный в Trust Store через GPO/MDM), либо публичный сертификат.

История корневых УЦ

Система PKI (Public Key Infrastructure) с корневыми УЦ разработана в 1990-х годах. Первый коммерческий Root CA — VeriSign Class 1 (1995). Программы доверия Mozilla Root Program (2001) и Microsoft Root Certificate Program (2002) определяют, каким корневым УЦ доверяют браузеры. К 2023 году в Mozilla Trust Store около 140 корневых сертификатов. Получить включение в Trust Store — процесс длиной 1–3 года с аудитами WebTrust.

Типичные проблемы с Root CA

Самая частая проблема — неполная цепочка сертификатов на сервере: отсутствует промежуточный Intermediate CA. Браузер не может построить путь доверия до Root CA. Проверьте командой openssl s_client -connect domain.com:443: в разделе Certificate chain должны быть все звенья. Инструмент SSL Labs (ssllabs.com/ssltest) визуально показывает цепочку.

Другие термины

.NET
.NET — кросс-платформенная платформа разработки Microsoft (2016+) для создания веб-приложений (ASP.NET Core), API, микросервисов, консольных утилит на C#, F# и VB.NET.
.NET Core
.NET (ранее .NET Core) — открытый кроссплатформенный фреймворк Microsoft для веб-разработки. ASP.NET Core поддерживает MVC, Minimal API, gRPC и Blazor, работает на Linux/Windows/macOS.
.htaccess
.htaccess — конфигурационный файл Apache, позволяющий задавать настройки веб-сервера для конкретной директории без перезапуска сервера: редиректы, права доступа, rewrite-правила, PHP-настройки.
100GbE
100GbE (100 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 100 Гбит/с (12,5 ГБ/с). Используется в магистральных каналах дата-центров, spine-коммутаторах и серверах с высокопроизводительными NVMe-массивами.
10GbE
10GbE (10 Gigabit Ethernet) — стандарт Ethernet со скоростью передачи данных 10 Гбит/с. Используется в серверных сетях для подключения серверов к коммутаторам, интерконнекта гипервизоров и связи с хранилищами iSCSI/NFS.
152-ФЗ
152-ФЗ — Федеральный закон «О персональных данных», устанавливающий правила сбора, хранения и обработки данных граждан РФ. Обязывает хранить персданные россиян на серверах в России.
1GbE
1 Gigabit Ethernet (1GbE) — стандарт сетевого интерфейса с пропускной способностью 1 Гбит/с (125 МБ/с). Основной стандарт для серверных и рабочих сетей с 2000-х годов, определённый в IEEE 802.3ab (витая пара Cat5e+) и IEEE 802.3z (оптика).
25GbE
25GbE (25 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 25 Гбит/с, принятый IEEE 802.3by в 2016 году. Оптимальный баланс между стоимостью и производительностью для серверных подключений в современных дата-центрах.
Смотрите также:
Все терминыБлогКаталог тарифов