Що таке кореневий сертифікат (CA)? Повний посібник щодо центрів сертифікації та ланцюга довіри

Безпечне спілкування в Інтернеті не відбувається випадково. За кожною іконкою замка в браузері, кожним HTTPS-з’єднанням та кожною передачею зашифрованих даних стоїть ретельно розроблена система довіри — і в самій основі цієї системи лежить кореневий сертифікат. Незалежно від того, чи ви розробник, який захищає веб-додаток, системний адміністратор, який керує серверною інфраструктурою, чи власник бізнесу, який захищає дані клієнтів, розуміння кореневих сертифікатів є важливим знанням.

У цьому комплексному посібнику ми розберемо, що таке кореневі сертифікати, як працюють Центри сертифікації (CA), як встановлюється ланцюг довіри та як керувати кореневими сертифікатами у власних системах.

Що таке кореневий сертифікат?

Кореневий сертифікат — це самопідписаний цифровий сертифікат, виданий надійним Центром сертифікації (CA). Він розташований на самому верху ієрархії Інфраструктури відкритих ключів (PKI) і служить остаточною якорем довіри для всіх цифрових сертифікатів, які з нього походять.

На відміну від стандартних SSL/TLS сертифікатів, які підписані іншим органом, кореневий сертифікат підписаний сам собою — це означає, що CA гарантує власну ідентичність. Це можливо, тому що кореневі сертифікати попередньо встановлені та за замовчуванням довіряються операційними системами, веб-браузерами та іншим програмним клієнтам.

Коли ваш браузер підключається до веб-сайту через HTTPS, він не просто перевіряє сертифікат веб-сайту окремо. Він відстежує шлях через ланцюг сертифікатів, поки не дійде до кореневого сертифіката, якому він уже довіряє. Якщо цей кореневий сертифікат присутній у сховищі довіри системи, з’єднання вважається безпечним.

Кореневі сертифікати — це основа зашифрованого спілкування в Інтернеті — і без них технології SSL/TLS не мали б надійної основи для роботи. Якщо ви розгортаєте SSL/TLS у власній інфраструктурі, рішення на кшталт VPS Hosting від AlexHost забезпечують повний root-доступ та безпечне середовище для ефективної реалізації та управління стеком сертифікатів.

Роль Центрів сертифікації (CA)

Центр сертифікації (CA) — це організація (державна або приватна), яка видає, керує та відкликає цифрові сертифікати. CA — це довірені третьої сторони, які забезпечують функціонування всієї системи PKI.

Ось що роблять CA на практиці:

• Перевірка ідентичності: Перед виданням сертифіката CA перевіряє ідентичність запитуючої сторони. Залежно від типу сертифіката (DV, OV або EV), ця перевірка може варіюватися від простої перевірки володіння доменом до повного юридичного аудиту бізнесу.
• Видання сертифіката: Після перевірки CA підписує сертифікат своїм приватним ключем, пов’язуючи ідентичність сутності з відкритим ключем.
• Відкликання сертифіката: Якщо сертифікат скомпрометований або більше не дійсний, CA може його відкликати та опублікувати відкликання через Список відкликаних сертифікатів (CRL) або Протокол статусу сертифіката в режимі онлайн (OCSP).

Добре відомі державні CA включають DigiCert, Sectigo, GlobalSign та Let’s Encrypt. Ці організації мають свої кореневі сертифікати попередньо встановлені в основних операційних системах та браузерах, тому сертифікати, які вони видають, автоматично довіряються кінцевим користувачам.

Приватні CA також існують у корпоративних середовищах і використовуються для внутрішніх систем, інтранетів та управління пристроями — але їхні кореневі сертифікати повинні бути вручну розповсюджені та встановлені на клієнтських пристроях.

Ланцюг довіри: як це працює

Ланцюг довіри (також називається ланцюгом сертифікатів) — це ієрархічна послідовність сертифікатів, яка пов’язує сертифікат кінцевого користувача з надійним кореневим сертифікатом. Розуміння цього ланцюга є критичним для всіх, хто керує SSL/TLS на веб-серверах або додатках.

Три рівні ієрархії сертифікатів

#### 1. Кореневий сертифікат (якір довіри)

Кореневий сертифікат — це найвищий елемент в ієрархії. Він:

• Самопідписаний CA
• Попередньо встановлений у сховищах довіри операційної системи та браузера
• Зберігається з високою безпекою — часто зберігається офлайн у модулях апаратної безпеки (HSM)
• Довгоживучий, з періодами дійсності, які часто охоплюють 20–25 років

Оскільки кореневий сертифікат настільки цінний, а його компрометація була б катастрофічною, CA докладають надзвичайних зусиль для його захисту. Саме тому існують проміжні сертифікати.

#### 2. Проміжні сертифікати

Проміжні сертифікати видаються та підписуються кореневим CA. Вони діють як буфер між кореневим сертифікатом та сертифікатами кінцевих користувачів. Ключові характеристики включають:

• Операційна безпека: Кореневий CA може залишатися офлайн, тоді як проміжні CA обробляють повсякденне видання сертифікатів
• Компартаменталізація: Якщо проміжний CA скомпрометований, постраждають лише сертифікати, які він видав — кореневий сертифікат залишається неушкодженим
• Гнучкість: Можна створити кілька проміжних CA для різних цілей, географічних регіонів або бізнес-одиниць

Коли ви встановлюєте SSL/TLS сертифікат на веб-сервер, вам також зазвичай потрібно встановити ланцюг проміжних сертифікатів, щоб браузери могли завершити шлях довіри.

#### 3. Сертифікати кінцевих користувачів (листкові сертифікати)

Це сертифікати, встановлені на веб-сайтах, поштових серверах, API та інших сервісах. Вони:

• Підписані проміжним CA
• Пов’язані з конкретною назвою домену, IP-адресою або організацією
• Короткоживучі, зазвичай дійсні від 90 днів до 2 років
• Те, що браузери та клієнти насправді перевіряють при встановленні безпечного з’єднання

Як процес перевірки працює на практиці:

1. Ваш браузер підключається до https://example.com
2. Сервер представляє свій SSL/TLS сертифікат (сертифікат кінцевого користувача)
3. Ваш браузер перевіряє підпис сертифіката — він був підписаний проміжним CA
4. Ваш браузер перевіряє сертифікат проміжного CA — він був підписаний кореневим CA
5. Ваш браузер перевіряє своє сховище довіри кореневих сертифікатів — кореневий CA присутній і довіряється
6. З’єднання перевірено як безпечне ✓

Якщо будь-яка ланка в цьому ланцюзі розірвана, закінчилася, відкликана або не довіряється, браузер відобразить попередження про безпеку, і з’єднання не вдасться.

Чому кореневі сертифікати важливі: основні функції

Безпека

Кореневі сертифікати — це механізм, за допомогою якого зашифроване спілкування аутентифікується та захищається. Коли клієнт підключається до сервера за допомогою HTTPS, TLS або інших зашифрованих протоколів, кореневий сертифікат забезпечує фундаментальну довіру, яка робить шифрування значущим. Без нього не було б надійного способу переконатися, що ви насправді спілкуєтесь з передбачуваним сервером, а не з зловмисником, який здійснює атаку «людина посередині» (MITM).

Аутентифікація

Кореневі сертифікати забезпечують криптографічну аутентифікацію ідентичностей. Довіряючи кореневому сертифікату, ви неявно довіряєте кожній сутності, чий сертифікат повертається до нього — за умови, що CA правильно виконала свою роботу. Саме тому існують стандарти CA/Browser Forum та аудити WebTrust: щоб забезпечити, що CA дотримуються суворих практик перевірки ідентичності.

Цілісність даних

Крім шифрування та аутентифікації, система PKI забезпечує цілісність даних. Цифрові підписи, отримані з ланцюга сертифікатів, гарантують, що дані, передані між клієнтом та сервером, не були змінені під час передачі. Це особливо критично для фінансових операцій, медичних даних, юридичних документів та будь-якого іншого обміну конфіденційною інформацією.

Неспростовність

У деяких контекстах, особливо при підписанні коду та сертифікатах підписання документів, кореневі сертифікати підтримують неспростовність — можливість довести, що конкретна сутність підписала або відправила конкретну частину даних, і що вона не може пізніше це заперечувати.

Управління кореневими сертифікатами у вашій системі

Незалежно від того, чи ви усуваєте помилки SSL, розгортаєте внутрішню PKI або проводите аудит конфігурації сертифіката вашого сервера, знання того, як переглядати та керувати кореневими сертифікатами, є практичною навичкою для будь-якого адміністратора.

Крок 1: Перегляд встановлених кореневих сертифікатів

На Windows:

1. Натисніть Win + R для відкриття діалогового вікна «Виконати»
2. Введіть certmgr.msc та натисніть Enter
3. Перейдіть до Довірені кореневі центри сертифікації → Сертифікати
4. Ви побачите повний список довірених кореневих сертифікатів, встановлених у системі

Крім того, використовуйте PowerShell:

Get-ChildItem -Path Cert:LocalMachineRoot

На macOS:

1. Відкрийте Keychain Access (знаходиться в Applications → Utilities)
2. На лівій панелі виберіть System Roots у розділі Keychains
3. Відфільтруйте за Certificates у розділі Category
4. Переглядайте або шукайте конкретні кореневі сертифікати

На Linux (Debian/Ubuntu):

Кореневі сертифікати зазвичай зберігаються в /etc/ssl/certs/. Ви можете їх перелічити за допомогою:

ls /etc/ssl/certs/

Для перегляду конкретного сертифіката:

openssl x509 -in /etc/ssl/certs/ca-certificates.crt -text -noout

Пакет ca-certificates керує сховищем довіри кореневих сертифікатів у більшості систем на основі Debian.

На Linux (RHEL/CentOS/AlmaLinux):

ls /etc/pki/ca-trust/source/anchors/
update-ca-trust

Крок 2: Додавання користувацького кореневого сертифіката

У корпоративних середовищах або при використанні приватного CA вам може знадобитися додати користувацький кореневий сертифікат до вашого сховища довіри.

На Windows (через групову політику або вручну):

Import-Certificate -FilePath "C:pathtorootCA.crt" -CertStoreLocation Cert:LocalMachineRoot

На Ubuntu/Debian:

sudo cp rootCA.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

На RHEL/CentOS:

sudo cp rootCA.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Крок 3: Оновлення кореневих сертифікатів

Сховища кореневих сертифікатів оновлюються через оновлення операційної системи та браузера. Утримання ваших систем у актуальному стані — це найпростіший та найважливіший крок у підтриманні здорового сховища довіри.

• Windows: Windows Update розповсюджує оновлення кореневих сертифікатів автоматично через Microsoft Trusted Root Certificate Program
• macOS: Оновлення кореневих сертифікатів включені в оновлення безпеки macOS
• Linux: Регулярно оновлюйте пакет ca-certificates: sudo apt update && sudo apt upgrade ca-certificates
• Браузери: Chrome, Firefox та Edge мають свої власні сховища кореневих сертифікатів (частково або повністю незалежні від ОС) та оновлюють їх разом з оновленнями браузера

Крок 4: Відкликання або недовіра до кореневого сертифіката

Якщо кореневий сертифікат скомпрометований або вам потрібно видалити CA зі сховища довіри, ви можете вручну недовіряти або видалити його через ті ж інтерфейси, описані вище. Основні браузери та постачальники ОС історично видаляли скомпрометовані CA зі своїх сховищ довіри — помітні приклади включають бізнес CA Symantec та кілька державних CA.

Кореневі сертифікати та веб-хостинг: що вам потрібно знати

Якщо ви запускаєте веб-сайт або веб-додаток, інфраструктура кореневих сертифікатів впливає на вас безпосередньо через ваш SSL/TLS сертифікат. Ось що слід мати на увазі:

Встановлення сертифіката: Коли ви встановлюєте SSL сертифікат на сервер, ви також повинні встановити повний ланцюг проміжних сертифікатів. Невдача в цьому призведе до помилок ланцюга довіри для деяких клієнтів, навіть якщо сам сертифікат дійсний.

Вибір сертифіката: Виберіть SSL сертифікати від добре встановлених CA, чиї кореневі сертифікати широко довіряються. AlexHost пропонує SSL Certificates, які розпізнаються всіма основними браузерами та операційними системами, забезпечуючи, що ваші відвідувачі ніколи не зіткнуться з помилками довіри.

Конфігурація сервера: Правильно налаштуйте веб-сервер (Apache, Nginx, LiteSpeed) для обслуговування повного ланцюга сертифікатів. Інструменти на кшталт SSL Labs’ SSL Test можуть перевірити, що ваш ланцюг правильно налаштований.

Середовище хостингу: Ваше середовище хостингу повинно правильно підтримувати SSL/TLS. Незалежно від того, чи ви на Shared Web Hosting для простого веб-сайту або Dedicated Server для високонавантажених додатків, забезпечення того, що ваша платформа підтримує сучасні конфігурації TLS та управління сертифікатами, є обов’язковим.

Безпека електронної пошти: Кореневі сертифікати також лежать в основі протоколів шифрування електронної пошти, таких як S/MIME та STARTTLS. Якщо ви запускаєте поштовий сервер, розгляньте професійне рішення Email Hosting, яке обробляє управління сертифікатами та безпечну передачу з коробки.

Поширені проблеми з кореневими сертифікатами та як їх виправити

Помилка «Сертифікат не довіряється»

Причина: Кореневий сертифікат видавця CA не знаходиться у сховищі довіри клієнта.

Виправлення: Переконайтеся, що ви використовуєте сертифікат від широко довіреного CA. Для внутрішні