Certificado raiz

certificado de chave pública que identifica uma autoridade de certificação raiz (CA)

Em criptografia e segurança de computador, um certificado raiz é um certificado de chave pública que identifica uma autoridade de certificação raiz (CA).[1] Os certificados raiz são autoassinados (e é possível que um certificado tenha vários caminhos de confiança, digamos se o certificado foi emitido por uma raiz com assinatura cruzada) e formam a base de uma infraestrutura de chave pública baseada em X.509 (PKI). Ou ele combinou o Identificador de Chave de Autoridade com o Identificador de Chave de Assunto, em alguns casos não há nenhum identificador de Chave de Autoridade, então a string do emissor deve corresponder à string do Assunto (RFC 5280). Por exemplo, as PKIs que suportam HTTPS[2] para navegação segura na web e esquemas de assinatura eletrônica dependem de um conjunto de certificados raiz.

A função do certificado raiz como na cadeia de confiança

Uma autoridade de certificação pode emitir vários certificados na forma de uma estrutura em árvore. Um certificado raiz é o primeiro certificado da árvore, cuja chave privada é usada para "assinar" outros certificados. Todos os certificados assinados pelo certificado raiz, com o campo "CA" definido como verdadeiro, herdam a confiabilidade do certificado raiz - uma assinatura por um certificado raiz é um tanto análogo a "notarizar" a identidade no mundo físico. Esse certificado é denominado certificado intermediário ou certificado CA subordinado. Certificados mais abaixo na árvore também dependem da confiabilidade dos intermediários.

O certificado raiz geralmente se torna confiável por algum mecanismo diferente de um certificado, como por distribuição física segura. Por exemplo, alguns dos certificados raiz mais conhecidos são distribuídos em sistemas operacionais por seus fabricantes. Microsoft distribui certificados de raiz pertencentes a membros do Microsoft Root Certificate Program para o Windows desktops e Windows Phone 8.[2] A Apple distribui certificados raiz pertencentes a membros de seu próprio programa raiz.

Incidentes de uso indevido de certificado raiz

editar

Emissão de certificados falsos pelo Centro de Informações de Rede da Internet da China (CNNIC)

editar
 
Exemplo de um certificado raiz DigiCert

Em 2009, um funcionário do Centro de Informações de Rede da Internet da China (CNNIC) se candidatou à Mozilla para adicionar o CNNIC à lista de certificados raiz da Mozilla foi aprovado. Posteriormente, a Microsoft também adicionou CNNIC à lista de certificados raiz do Windows.[3]

Em 2015, muitos usuários optaram por não confiar nos certificados digitais emitidos pelo CNNIC porque uma CA intermediária emitida pelo CNNIC emitiu certificados falsos para nomes de domínio do Google[4] e levantou preocupações sobre o abuso do poder de emissão de certificados pelo CNNIC.[5]

Em 2 de abril de 2015, o Google anunciou que não reconhecia mais o certificado eletrônico emitido pelo CNNIC.[6][7][8] Em 4 de abril, seguindo o Google, a Mozilla também anunciou que não reconhecia mais o certificado eletrônico emitido pelo CNNIC.[9][10]

WoSign e StartCom: emissão de certificados falsos e retroativos

editar

Em 2016, a WoSign, o maior emissor de certificados CA da China de propriedade da Qihoo 360 e sua subsidiária israelense StartCom, teve o reconhecimento negado de seus certificados pelo Google.[11]

WoSign e StartCom revelaram ter emitido centenas de certificados com o mesmo número de série em apenas cinco dias, bem como certificados de backdating.[12] WoSign e StartCom emitiram até mesmo um certificado falso para o GitHub.[13]

A Microsoft também disse em 2017 que removeria os certificados relevantes offline,[14] mas em fevereiro de 2021 os usuários ainda relataram que os certificados do WoSign e StartCom ainda eram eficazes no Windows 10 e só podiam ser removidos manualmente.[15]

Ver também

editar
  • Este artigo foi inicialmente traduzido, total ou parcialmente, do artigo da Wikipédia em inglês cujo título é «Root certificate».

Referências

  1. «What Are CA Certificates?». Microsoft TechNet. 28 de março de 2003. Consultado em 27 de setembro de 2021 
  2. a b «Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)». Microsoft TechNet. Outubro de 2014. Consultado em 27 de setembro de 2021 
  3. «476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate». bugzilla.mozilla.org (em inglês). Consultado em 3 de janeiro de 2020. Cópia arquivada em 22 de fevereiro de 2020 
  4. «CNNIC发行的中级CA发行了Google的假证书». solidot. 24 de março de 2015. Consultado em 24 de março de 2015. Cópia arquivada em 26 de março de 2015 
  5. «最危险的互联网漏洞正在逼近». Consultado em 26 de março de 2015. Cópia arquivada em 21 de novembro de 2015 
  6. «Google Bans China's Website Certificate Authority After Security Breach». Extra Crunch. 1 de abril de 2015. Consultado em 27 de setembro de 2021 
  7. «谷歌不再承認中國CNNIC頒發的信任證書». 華爾街日報. 3 de abril de 2015. Consultado em 3 de abril de 2015 
  8. «谷歌不再信任中国CNNIC 的网站信任证书». 美國之音. 3 de abril de 2015. Consultado em 3 de abril de 2015 
  9. «Google and Mozilla decide to ban Chinese certificate authority CNNIC from Chrome and Firefox». VentureBeat. 2 de abril de 2015. Consultado em 27 de setembro de 2021 
  10. «Mozilla紧随谷歌 拒绝承认中国安全证书». 美國之音. 4 de abril de 2015. Consultado em 4 de abril de 2015 
  11. «谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网». www.expreview.com. Consultado em 3 de janeiro de 2020 
  12. «CA:WoSign Issues - MozillaWiki». wiki.mozilla.org. Consultado em 3 de janeiro de 2020 
  13. Stephen Schrauger. «The story of how WoSign gave me an SSL certificate for GitHub.com». Schrauger.com. Consultado em 27 de setembro de 2021 
  14. Microsoft Defender Security Research Team (8 de agosto de 2017). «Microsoft to remove WoSign and StartCom certificates in Windows 10». Microsoft. Consultado em 27 de setembro de 2021 
  15. «Toxic Root-CA certificates of WoSign and StartCom are still active in Windows 10». Windows Phone Info. Consultado em 27 de setembro de 2021