Root certificate — Public Key Infrastructure ierarxiyasining eng yuqori nuqtasida turadigan, odatda o‘z private keyi bilan imzolangan CA sertifikati. Operatsion tizim, brauzer yoki korporativ qurilma uni trust anchor sifatida oldindan ishonchli deb belgilaydi. Sertifikat zanjiridagi imzolar rootgacha tekshiriladi, ammo rootning ishonchi uning self-signature’idan emas, trust store’ga nazoratli kiritilganidan keladi.
Self-signed tuzilma
Root sertifikatda subject va issuer odatda bir xil bo‘ladi, signature esa shu sertifikatdagi public keyga mos private key bilan yaratiladi. Self-signature sertifikat byte’lari buzilmaganini tekshirishga yordam beradi, lekin “o‘zi o‘ziga ishondi” degan sabab bilan tashqi trust hosil qilmaydi. Istalgan odam self-signed root yaratishi mumkin; faqat client trust store’idagi rootlar ishonchli yo‘lning boshlanishi bo‘ladi.
Basic Constraints extensionida CA=true, Key Usage’da certificate signing va CRL signing kabi maqsadlar belgilanadi. Name Constraints root yoki intermediate’ning qaysi namespace uchun sertifikat chiqarishini cheklashi mumkin, lekin barcha clientlarda qo‘llov va talqin sinovdan o‘tkaziladi.
Trust store
Brauzer yoki operatsion tizim root dasturi CA’larni audit, policy va incident talablariga ko‘ra qabul qiladi. Trust store yangilanishi yangi root qo‘shadi yoki ishonchi bekor qilingan rootni olib tashlaydi. Eski qurilma yangilanmasa, yangi certificate chainni tanimasligi yoki endi xavfli rootga ishonishda davom etishi mumkin.
Enterprise administrator private rootni boshqariladigan qurilmalarga MDM yoki Group Policy bilan tarqatishi mumkin. Bunday root qurilma uchun ruxsat etilgan nomlar doirasida sertifikat chiqarish kuchiga ega. Private root faylini oddiy email bilan tarqatish va foydalanuvchidan qo‘lda o‘rnatishni so‘rash phishing hamda nazoratsiz trust xavfini oshiradi.
Offline private key
Root private key juda kam ishlatiladi: asosan intermediate CA sertifikatini imzolash, root CRL chiqarish yoki ceremony amallarida. U offline HSMda, jismoniy xavfsiz joyda va bir nechta operator ulushi bilan saqlanishi mumkin. Root server doim internetga ulangan issuance tizimi bo‘lmaydi.
Key ceremony avvaldan yozilgan skript va rol taqsimoti bilan bajariladi. Ishtirokchilar HSMni faollashtiradi, so‘rov fingerprintlarini tekshiradi, imzo yaratadi va audit dalillarini saqlaydi. Private key backupi shifrlangan, geografik ajratilgan va threshold nazorati ostida bo‘ladi.
Cross-signing va chain
Yangi root eski qurilma trust store’ida bo‘lmasligi mumkin. Mavjud ishonchli root yangi CA public keyini intermediate sifatida imzolasa, cross-signed chain eski clientga yo‘l beradi. Ayni public key uchun self-signed root va boshqa root imzolagan certificate mavjud bo‘lishi mumkin. Server qaysi chainni yuborishi client mosligiga ta’sir qiladi.
Path building bir nechta mumkin zanjir orasidan client siyosatiga mosini topadi. Expired cross-sign sertifikati noto‘g‘ri yuborilsa, yangi rootga bevosita ishonadigan client ham keraksiz zanjirni tanlab xato qilishi mumkin. Chain real platformalar bilan sinovdan o‘tkaziladi.
Muddati va almashtirish
Root certificate odatda o‘nlab yil amal qiladi, chunki uni milliardlab qurilmaga tarqatish sekin. Uzoq validity private keyni doim ishlatish kerak degani emas. Yangi root oldindan trust store’larga kiritilib, intermediate’lar va server chainlari bosqichma-bosqich o‘tkaziladi.
Root compromise’i eng og‘ir PKI hodisalaridan biridir. Trust store operatorlari distrust yangilanishi chiqaradi, intermediate va end-entity sertifikatlar yangi hierarchy’ga ko‘chiriladi. Faqat CRL e’lon qilish barcha clientlarda yetarli bo‘lmasligi mumkin, chunki root revocation oddiy leaf revocationdan farqli boshqariladi.
Bog‘liq tushunchalar
Trust anchor, Certificate Authority, Intermediate CA, Trust store, Self-signed certificate, PKI, Certificate chain