रूट सर्टिफिकेट

क्रिप्टोग्राफी और कंप्यूटर सुरक्षा में, रूट सर्टिफिकेट एक सार्वजनिक कुंजी प्रमाणपत्र है जो रूट प्रमाणपत्र, प्राधिकारी  (सीए) की पहचान करता है। रूट सर्टिफिकेट स्व-हस्ताक्षरित प्रमाणपत्र हैं। स्व-हस्ताक्षरित (और यह संभव है कि प्रमाणपत्र में कई ट्रस्ट पथ हों, यदि प्रमाणपत्र रूट द्वारा जारी किया गया था जो क्रॉस-हस्ताक्षरित था) और X.509 का आधार बनता है- आधारित सार्वजनिक कुंजी अवसंरचना (पीकेआई)। या तो यह विषय कुंजी पहचानकर्ता के साथ प्राधिकरण कुंजी पहचानकर्ता से मेल खाता है, कुछ मामलों में कोई प्राधिकरण कुंजी पहचानकर्ता नहीं है, तो जारीकर्ता स्ट्रिंग को विषय स्ट्रिंग से मेल खाना चाहिए. उदाहरण के लिए, पीकेआई HTTP सर्वर का समर्थन करता है सुरक्षित वर्ल्ड वाइड वेब ब्राउज़िंग और इलेक्ट्रॉनिक हस्ताक्षर योजनाओं के लिए रूट प्रमाणपत्रों के एक सेट पर निर्भर करते हैं।

एक सर्टिफिकेट अथॉरिटी पेड़ की संरचना  के रूप में कई सर्टिफिकेट जारी कर सकती है। रूट सर्टिफिकेट ट्री का सबसे ऊपर का सर्टिफिकेट होता है, प्राइवेट की जिसका इस्तेमाल दूसरे सर्टिफिकेट पर हस्ताक्षर करने के लिए किया जाता है। रूट प्रमाणपत्र द्वारा हस्ताक्षरित सभी प्रमाणपत्र, CA फ़ील्ड को सही पर सेट करने के साथ, रूट प्रमाणपत्र की विश्वसनीयता विरासत में मिलती है—रूट प्रमाणपत्र द्वारा किया गया हस्ताक्षर कुछ हद तक भौतिक दुनिया में नोटरी पहचान के अनुरूप होता है। ऐसे प्रमाणपत्र को मध्यवर्ती प्रमाणपत्र या सबऑर्डिनेट CA प्रमाणपत्र कहा जाता है। पेड़ के नीचे के प्रमाण पत्र भी मध्यवर्ती की विश्वसनीयता पर निर्भर करते हैं।

रूट सर्टिफिकेट को आमतौर पर सर्टिफिकेट के अलावा किसी अन्य तंत्र द्वारा भरोसेमंद बनाया जाता है, जैसे कि सुरक्षित भौतिक वितरण। उदाहरण के लिए, कुछ सबसे प्रसिद्ध रूट प्रमाणपत्र ऑपरेटिंग सिस्टम में उनके निर्माताओं द्वारा वितरित किए जाते हैं। Microsoft, Microsoft रूट प्रमाणपत्र प्रोग्राम के सदस्यों से संबंधित रूट प्रमाणपत्रों को Windows डेस्कटॉप और Windows 8 फ़ोन पर वितरित करता है। Apple अपने स्वयं के सार्वजनिक कुंजी प्रमाणपत्र#रूट प्रोग्राम के सदस्यों से संबंधित रूट प्रमाणपत्र वितरित करता है।

2011 का डिजीनोटर हैक
2011 में, नीदरलैंड प्रमाणपत्र प्राधिकरण DigiNotar को सुरक्षा भंग का सामना करना पड़ा। इसके कारण विभिन्न कपटपूर्ण प्रमाणपत्र जारी किए गए, जिनका ईरानी जीमेल उपयोगकर्ताओं को लक्षित करने के लिए दुरूपयोग किया गया। DigiNotar प्रमाणपत्रों में भरोसा वापस ले लिया गया था और कंपनी के परिचालन प्रबंधन को डच सरकार ने अपने कब्जे में ले लिया था।

चीन इंटरनेट नेटवर्क सूचना केंद्र (सीएनएनआईसी) नकली प्रमाणपत्र जारी करना


2009 में, चीन इंटरनेट नेटवर्क सूचना केंद्र (CNNIC) के एक कर्मचारी ने Mozilla के रूट प्रमाणपत्र सूची में CNNIC को जोड़ने के लिए Mozilla पर आवेदन किया और स्वीकृत किया गया था। बाद में, Microsoft ने CNNIC को विंडोज के रूट सर्टिफिकेट लिस्ट में भी जोड़ा।

2015 में, कई उपयोगकर्ताओं ने CNNIC द्वारा जारी किए गए डिजिटल प्रमाणपत्रों पर भरोसा नहीं करना चुना क्योंकि CNNIC द्वारा जारी एक मध्यवर्ती CA को Google डोमेन नामों के लिए नकली प्रमाणपत्र जारी करने के लिए पाया गया था। और CNNIC द्वारा प्रमाणपत्र जारी करने की शक्ति के दुरुपयोग के बारे में चिंता व्यक्त की। 2 अप्रैल 2015 को, Google ने घोषणा की कि वह CNNIC द्वारा जारी किए गए इलेक्ट्रॉनिक प्रमाणपत्र को अब मान्यता नहीं देता है।  4 अप्रैल को, Google का अनुसरण करते हुए, मोज़िला ने भी घोषणा की कि वह CNNIC द्वारा जारी किए गए इलेक्ट्रॉनिक प्रमाणपत्र को अब मान्यता नहीं देता है।  अगस्त 2016 में, CNNIC की आधिकारिक वेबसाइट ने स्वयं द्वारा जारी किए गए रूट प्रमाणपत्र को छोड़ दिया था और इसे DigiCert द्वारा जारी प्रमाणपत्र के साथ बदल दिया था।

WoSign और StartCom: नकली और बैकडेट प्रमाणपत्र जारी करना
2016 में, WoSign, Qihoo 360 के स्वामित्व वाला चीन का सबसे बड़ा CA प्रमाणपत्र जारीकर्ता और इसकी इज़राइल राज्य की सहायक कंपनी StartCom को Google द्वारा उनके प्रमाणपत्रों की मान्यता से वंचित कर दिया गया था।

WoSign और StartCom ने केवल पांच दिनों में एक ही क्रमांक के साथ सैकड़ों प्रमाणपत्र जारी करने के साथ-साथ बैकडेट प्रमाणपत्र जारी करने का खुलासा किया। WoSign और StartCom ने नकली GitHub प्रमाणपत्र भी जारी किया। Microsoft ने भी 2017 में कहा था कि वे प्रासंगिक प्रमाणपत्रों को ऑफ़लाइन हटा देंगे, लेकिन फरवरी 2021 में उपयोगकर्ताओं ने अभी भी बताया कि WoSign और StartCom के प्रमाणपत्र अभी भी विंडोज 10 में प्रभावी थे और उन्हें केवल मैन्युअल रूप से हटाया जा सकता था।

यह भी देखें

 * ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP)
 * एसएचए-1
 * समय-चिह्न
 * Verisign