Certificado raíz

En criptografía y seguridad informática, un certificado raíz es un certificado de clave pública que identifica a una autoridad certificadora (CA) raíz. Los certificados raíz están autofirmados (y es posible que un certificado tenga múltiples rutas de confianza, por ejemplo, si el certificado fue emitido por una raíz que fue firmada de forma cruzada) y forman la base de una infraestructura de clave pública basada en X.509 (PKI). O bien ha hecho coincidir el identificador de clave de autoridad con el identificador de clave de sujeto, en algunos casos no hay un identificador de clave de autoridad, entonces la cadena del emisor debe coincidir con la cadena del sujeto (RFC 5280). Por ejemplo, las PKI que admiten HTTPS para la navegación web segura y los esquemas de firma electrónica dependen de un conjunto de certificados raíz.

Una autoridad de certificación puede emitir varios certificados en forma de estructura de árbol. Un certificado raíz es el certificado superior del árbol, la clave privada que se utiliza para "firmar" otros certificados. Todos los certificados firmados por el certificado raíz, con la "CA" establecido en verdadero, hereda la confiabilidad del certificado raíz: la firma de un certificado raíz es algo similar a "notarizar" identidad en el mundo físico. Dicho certificado se denomina certificado intermedio o certificado de CA subordinada. Los certificados más abajo en el árbol también dependen de la confiabilidad de los intermediarios.

Por lo general, el certificado raíz se vuelve confiable mediante algún mecanismo que no sea un certificado, como una distribución física segura. Por ejemplo, algunos de los certificados raíz más conocidos son distribuidos en los sistemas operativos por sus fabricantes. Microsoft distribuye certificados raíz pertenecientes a miembros del Programa de certificados raíz de Microsoft a equipos de escritorio Windows y Windows Phone 8. Apple distribuye certificados raíz pertenecientes a miembros de su propio programa raíz.

Incidentes de mal uso del certificado raíz

Hack de DigiNotar de 2011

En 2011, la autoridad de certificación holandesa DigiNotar sufrió una brecha de seguridad. Esto condujo a la emisión de varios certificados fraudulentos, de los que, entre otros, se abusó para apuntar a los usuarios iraníes de Gmail. Se retiró la confianza en los certificados de DigiNotar y el gobierno holandés se hizo cargo de la gestión operativa de la empresa.

Centro de información de la red de Internet de China (CNNIC) Emisión de certificados falsos

En 2009, un empleado del China Internet Network Information Center (CNNIC) solicitó a Mozilla que agregara CNNIC a la lista de certificados raíz de Mozilla y fue aprobado. Posteriormente, Microsoft también agregó CNNIC a la lista de certificados raíz de Windows.

En 2015, muchos usuarios optaron por no confiar en los certificados digitales emitidos por CNNIC porque se descubrió que una CA intermedia emitida por CNNIC había emitido certificados falsos para los nombres de dominio de Google y expresó su preocupación por el abuso de poder de emisión de certificados por parte de CNNIC..

El 2 de abril de 2015, Google anunció que ya no reconocía el certificado electrónico emitido por CNNIC. el 4 de abril, siguiendo a Google, Mozilla también anunció que ya no reconocía el certificado electrónico emitido por CNNIC. en agosto de 2016, el sitio web oficial de CNNIC abandonó el certificado raíz emitido por él mismo y lo reemplazó con el certificado emitido por DigiCert.

WoSign y StartCom: emisión de certificados falsos y retroactivos

In 2016, WoSign, China 's largest CA certificate issuer owned by Qihoo 360 and its Israeli subsidiary StartCom, were denied recognition of their certificates by Google.

WoSign y StartCom revelaron haber emitido cientos de certificados con el mismo número de serie en solo cinco días, además de emitir certificados retroactivos. WoSign y StartCom incluso emitieron un certificado de GitHub falso.

Microsoft también dijo en 2017 que eliminaría los certificados relevantes sin conexión, pero en febrero de 2021 los usuarios aún informaron que los certificados de WoSign y StartCom aún estaban vigentes en Windows 10 y solo podían eliminarse manualmente.