Что такое корневой сертификат (CA)? Полное руководство по центрам сертификации и цепочке доверия

Безопасная коммуникация в интернете не происходит случайно. За каждым значком замка в вашем браузере, каждым HTTPS-соединением и каждой зашифрованной передачей данных стоит тщательно спроектированная система доверия — и в самом её основании лежит корневой сертификат. Независимо от того, являетесь ли вы разработчиком, защищающим веб-приложение, системным администратором, управляющим серверной инфраструктурой, или владельцем бизнеса, защищающим данные клиентов, понимание корневых сертификатов является необходимым знанием.

В этом подробном руководстве мы разберёмся, что такое корневые сертификаты, как работают центры сертификации (CA), как устанавливается цепь доверия и как управлять корневыми сертификатами в ваших собственных системах.

Что такое корневой сертификат?

Корневой сертификат — это самоподписанный цифровой сертификат, выданный доверенным центром сертификации (CA). Он находится на самой вершине иерархии инфраструктуры открытых ключей (PKI) и служит окончательным якорем доверия для всех цифровых сертификатов, полученных из него.

В отличие от стандартных SSL/TLS-сертификатов, подписанных другим органом, корневой сертификат подписан самим собой — это означает, что CA гарантирует собственную личность. Это возможно, потому что корневые сертификаты предустановлены и изначально доверяются операционными системами, веб-браузерами и другим программными клиентами.

Когда ваш браузер подключается к веб-сайту через HTTPS, он не просто проверяет сертификат веб-сайта изолированно. Он отслеживает путь через цепь сертификатов до тех пор, пока не достигнет корневого сертификата, которому он уже доверяет. Если этот корневой сертификат присутствует в хранилище доверия системы, соединение считается безопасным.

Корневые сертификаты — это основа зашифрованной коммуникации в интернете — и без них технологии SSL/TLS не имели бы надёжной основы для работы. Если вы развёртываете SSL/TLS на собственной инфраструктуре, решения, такие как VPS Hosting от AlexHost, предоставляют полный root-доступ и безопасную среду для эффективной реализации и управления вашим стеком сертификатов.

Роль центров сертификации (CA)

Центр сертификации (CA) — это организация (государственная или частная), которая выдаёт, управляет и отзывает цифровые сертификаты. CA — это доверенные третьи стороны, которые делают возможной работу всей системы PKI.

Вот что делают CA на практике:

• Проверка личности: Перед выдачей сертификата CA проверяет личность запрашивающей стороны. В зависимости от типа сертификата (DV, OV или EV), эта проверка может варьироваться от простой проверки владения доменом до полного юридического аудита бизнеса.
• Выдача сертификата: После проверки CA подписывает сертификат своим приватным ключом, связывая личность объекта с открытым ключом.
• Отзыв сертификата: Если сертификат скомпрометирован или больше не действителен, CA может отозвать его и опубликовать отзыв через список отозванных сертификатов (CRL) или протокол проверки статуса сертификата в режиме онлайн (OCSP).

Известные государственные CA включают DigiCert, Sectigo, GlobalSign и Let’s Encrypt. Эти организации имеют свои корневые сертификаты предустановленными в основных операционных системах и браузерах, поэтому сертификаты, которые они выдают, автоматически доверяются конечными пользователями.

Частные CA также существуют в корпоративных средах и используются для внутренних систем, интранетов и управления устройствами — но их корневые сертификаты должны быть вручную распределены и установлены на клиентские устройства.

Цепь доверия: как это работает

Цепь доверия (также называемая цепью сертификатов) — это иерархическая последовательность сертификатов, которая связывает сертификат конечного пользователя с доверенным корневым сертификатом. Понимание этой цепи критично для всех, кто управляет SSL/TLS на веб-серверах или приложениях.

Три уровня иерархии сертификатов

#### 1. Корневой сертификат (якорь доверия)

Корневой сертификат — это верхний элемент иерархии. Он:

• Самоподписан CA
• Предустановлен в хранилищах доверия операционной системы и браузера
• Хранится с высокой степенью безопасности — часто в автономном режиме в модулях аппаратной безопасности (HSM)
• Долгоживущий, с периодами действия, часто охватывающими 20–25 лет

Поскольку корневой сертификат настолько ценен и его компрометация была бы катастрофической, CA прилагают чрезвычайные усилия для его защиты. Именно поэтому существуют промежуточные сертификаты.

#### 2. Промежуточные сертификаты

Промежуточные сертификаты выдаются и подписываются корневым CA. Они действуют как буфер между корневым сертификатом и сертификатами конечных пользователей. Ключевые характеристики включают:

• Операционная безопасность: Корневой CA может оставаться в автономном режиме, пока промежуточные CA обрабатывают ежедневную выдачу сертификатов
• Разделение ответственности: Если промежуточный CA скомпрометирован, затронуты только выданные им сертификаты — корневой сертификат остаётся нетронутым
• Гибкость: Можно создать несколько промежуточных CA для разных целей, географических регионов или бизнес-подразделений

Когда вы устанавливаете SSL/TLS-сертификат на веб-сервер, вам обычно также нужно установить цепь промежуточных сертификатов, чтобы браузеры могли завершить путь доверия.

#### 3. Сертификаты конечных пользователей (листовые сертификаты)

Это сертификаты, установленные на веб-сайтах, почтовых серверах, API и других сервисах. Они:

• Подписаны промежуточным CA
• Привязаны к конкретному доменному имени, IP-адресу или организации
• Краткосрочные, обычно действительны от 90 дней до 2 лет
• То, что браузеры и клиенты фактически проверяют при установлении безопасного соединения

Как процесс проверки работает на практике:

1. Ваш браузер подключается к https://example.com
2. Сервер представляет свой SSL/TLS-сертификат (сертификат конечного пользователя)
3. Ваш браузер проверяет подпись сертификата — она была подписана промежуточным CA
4. Ваш браузер проверяет сертификат промежуточного CA — он был подписан корневым CA
5. Ваш браузер проверяет своё хранилище доверенных корневых сертификатов — корневой CA присутствует и доверяется
6. Соединение проверено как безопасное ✓

Если какое-либо звено в этой цепи разорвано, истекло, отозвано или не доверяется, браузер отобразит предупреждение о безопасности и соединение не будет установлено.

Почему корневые сертификаты важны: основные функции

Безопасность

Корневые сертификаты — это механизм, посредством которого зашифрованная коммуникация аутентифицируется и защищается. Когда клиент подключается к серверу с использованием HTTPS, TLS или других зашифрованных протоколов, корневой сертификат обеспечивает фундаментальное доверие, которое делает шифрование значимым. Без него не было бы надёжного способа убедиться, что вы действительно общаетесь с предполагаемым сервером, а не с злоумышленником, проводящим атаку типа «человек посередине» (MITM).

Аутентификация

Корневые сертификаты обеспечивают криптографическую аутентификацию личностей. Доверяя корневому сертификату, вы неявно доверяете каждому объекту, чей сертификат восходит к нему — при условии, что CA надлежащим образом выполнила свою работу. Именно поэтому существуют стандарты CA/Browser Forum и аудиты WebTrust: чтобы обеспечить, что CA поддерживают строгие практики проверки личности.

Целостность данных

Помимо шифрования и аутентификации, система PKI обеспечивает целостность данных. Цифровые подписи, полученные из цепи сертификатов, гарантируют, что данные, передаваемые между клиентом и сервером, не были изменены при передаче. Это особенно критично для финансовых транзакций, данных здравоохранения, юридических документов и любого другого обмена конфиденциальной информацией.

Неотказуемость

В некоторых контекстах, особенно при подписании кода и подписании документов сертификатами, корневые сертификаты поддерживают неотказуемость — возможность доказать, что конкретный объект подписал или отправил конкретный фрагмент данных, и что он не может позже отрицать это.

Управление корневыми сертификатами в вашей системе

Независимо от того, устраняете ли вы ошибки SSL, развёртываете внутреннюю PKI или проводите аудит конфигурации сертификатов вашего сервера, знание того, как просматривать и управлять корневыми сертификатами, является практическим навыком для любого администратора.

Шаг 1: Просмотр установленных корневых сертификатов

На Windows:

1. Нажмите Win + R для открытия диалога запуска
2. Введите certmgr.msc и нажмите Enter
3. Перейдите в раздел Доверенные корневые центры сертификации → Сертификаты
4. Вы увидите полный список доверенных корневых сертификатов, установленных в системе

Кроме того, используйте PowerShell:

Get-ChildItem -Path Cert:LocalMachineRoot

На macOS:

1. Откройте Keychain Access (находится в Applications → Utilities)
2. На левой боковой панели выберите System Roots в разделе Keychains
3. Отфильтруйте по Certificates в разделе Category
4. Просмотрите или найдите конкретные корневые сертификаты

На Linux (Debian/Ubuntu):

Корневые сертификаты обычно хранятся в /etc/ssl/certs/. Вы можете вывести их список с помощью:

ls /etc/ssl/certs/

Для просмотра конкретного сертификата:

openssl x509 -in /etc/ssl/certs/ca-certificates.crt -text -noout

Пакет ca-certificates управляет хранилищем доверенных корневых сертификатов в большинстве систем на основе Debian.

На Linux (RHEL/CentOS/AlmaLinux):

ls /etc/pki/ca-trust/source/anchors/
update-ca-trust

Шаг 2: Добавление пользовательского корневого сертификата

В корпоративных средах или при использовании частного CA вам может потребоваться добавить пользовательский корневой сертификат в ваше хранилище доверия.

На Windows (через групповую политику или вручную):

Import-Certificate -FilePath "C:pathtorootCA.crt" -CertStoreLocation Cert:LocalMachineRoot

На Ubuntu/Debian:

sudo cp rootCA.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

На RHEL/CentOS:

sudo cp rootCA.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Шаг 3: Обновление корневых сертификатов

Хранилища корневых сертификатов обновляются через обновления операционной системы и браузера. Поддержание ваших систем в актуальном состоянии — это самый простой и важный шаг в поддержании здорового хранилища доверия.

• Windows: Windows Update распределяет обновления корневых сертификатов автоматически через программу Microsoft Trusted Root Certificate Program
• macOS: Обновления корневых сертификатов включены в обновления безопасности macOS
• Linux: Регулярно обновляйте пакет ca-certificates: sudo apt update && sudo apt upgrade ca-certificates
• Браузеры: Chrome, Firefox и Edge поддерживают свои собственные хранилища корневых сертификатов (частично или полностью независимые от ОС) и обновляют их с обновлениями браузера

Шаг 4: Отзыв или удаление доверия к корневому сертификату

Если корневой сертификат скомпрометирован или вам нужно удалить CA из вашего хранилища доверия, вы можете вручную удалить доверие или удалить его через те же интерфейсы, описанные выше. Основные браузеры и поставщики ОС исторически удаляли скомпрометированные CA из своих хранилищ доверия — известные примеры включают бизнес CA Symantec и несколько государственных CA.

Корневые сертификаты и веб-хостинг: что вам нужно знать

Если вы запускаете веб-сайт или веб-приложение, инфраструктура корневых сертификатов влияет на вас напрямую через ваш SSL/TLS-сертификат. Вот что нужно помнить:

Установка сертификата: Когда вы устанавливаете SSL-сертификат на ваш сервер, вы также должны установить полную цепь промежуточных сертификатов. Невыполнение этого требования приведёт к ошибкам цепи доверия для некоторых клиентов, даже если сам сертификат действителен.

Выбор сертификата: Выбирайте SSL-сертификаты от хорошо зарекомендовавших себя CA, чьи корневые сертификаты широко доверяются. AlexHost предлагает SSL-сертификаты, которые признаны всеми основными браузерами и операционными системами, обеспечивая, что ваши посетители никогда не столкнутся с ошибками доверия.

Конфигурация сервера: Правильно настройте ваш веб-сервер (Apache, Nginx, LiteSpeed) для обслуживания полной цепи сертификатов. Инструменты, такие как SSL Test от SSL Labs, могут проверить, что ваша цепь правильно настроена.

Среда хостинга: Ваша среда хостинга должна надлежащим образом поддерживать SSL/TLS. Независимо от того, находитесь ли вы на общем веб-хостинге для простого веб-сайта или на выделенном сервере для высоконагруженных приложений, обеспечение того, что ваша платформа поддерживает современные конфигурации TLS и управление сертификатами, является обязательным условием.

Безопасность электронной почты: Корневые сертификаты также лежат в основе протоколов шифрования электронной почты, таких как S/MIME и STARTTLS. Если вы запускаете почтовый сервер, рассмотрите профессиональное решение Email Hosting, которое обрабатывает управление сертификатами и безопасную передачу из коробки.

Распространённые проблемы с корневыми сертификатами и способы их решения

Ошибка «Сертификат не доверяется»

Причина: Корневой сертификат выдавшего CA отсутствует в хранилище доверия клиента.

Решение: Убедитесь, что вы используете сертификат от широко доверяемого CA. Для внутренних систем распределите сертификат вашего частного корневого CA на все клиентские устройства.

Ошибка «Неполная цепь сертификатов»

Причина: Промежуточный сертификат отсутствует в конфигурации сервера.

Решение: Загрузите пакет промежуточных сертификатов от вашего CA и настройте ваш веб-сервер на обслуживание его вместе с сертификатом конечного пользователя.

Ошибка «Сертификат истёк»

Причина: Либо ваш сертификат конечного пользователя, либо промежуточный сертификат в цепи истёк.