रूट सर्टिफिकेट

क्रिप्टोग्राफी और कंप्यूटर सुरक्षा में, रूट सर्टिफिकेट एक सार्वजनिक कुंजी सर्टिफिकेट है जो रूट  सर्टिफिकेट, प्राधिकारी (सीए) की पहचान करता है। रूट सर्टिफिकेट स्व-हस्ताक्षरित सर्टिफिकेट  हैं। स्व-हस्ताक्षरित (और यह संभव है कि सर्टिफिकेट  में कई ट्रस्ट पथ हों, यदि सर्टिफिकेट  रूट द्वारा जारी किया गया था जो क्रॉस-हस्ताक्षरित था) और X.509 का आधार बनता है- आधारित सार्वजनिक कुंजी अवसंरचना (पीकेआई)। या तो यह विषय कुंजी पहचानकर्ता के साथ प्राधिकरण कुंजी पहचानकर्ता से मेल खाता है, कुछ मामलों में कोई प्राधिकरण कुंजी पहचानकर्ता नहीं है, तो जारीकर्ता स्ट्रिंग को विषय स्ट्रिंग से मेल खाना चाहिए. उदाहरण के लिए, पीकेआई HTTP सर्वर का समर्थन करता है सुरक्षित वर्ल्ड वाइड वेब ब्राउज़िंग और इलेक्ट्रॉनिक हस्ताक्षर योजनाओं के लिए रूट सर्टिफिकेट ों के एक सेट पर निर्भर करते हैं।

एक सर्टिफिकेट अथॉरिटी पेड़ की संरचना  के रूप में कई सर्टिफिकेट जारी कर सकती है। रूट सर्टिफिकेट ट्री का सबसे ऊपर का सर्टिफिकेट होता है, प्राइवेट की जिसका इस्तेमाल दूसरे सर्टिफिकेट पर हस्ताक्षर करने के लिए किया जाता है। रूट सर्टिफिकेट  द्वारा हस्ताक्षरित सभी सर्टिफिकेट, CA फ़ील्ड को सही पर सेट करने के साथ, रूट सर्टिफिकेट  की विश्वसनीयता विरासत में मिलती है—रूट सर्टिफिकेट  द्वारा किया गया हस्ताक्षर कुछ हद तक भौतिक दुनिया में नोटरी पहचान के अनुरूप होता है। ऐसे सर्टिफिकेट  को मध्यवर्ती सर्टिफिकेट  या सबऑर्डिनेट CA सर्टिफिकेट  कहा जाता है। पेड़ के नीचे के प्रमाण पत्र भी मध्यवर्ती की विश्वसनीयता पर निर्भर करते हैं।

रूट सर्टिफिकेट को आमतौर पर सर्टिफिकेट के अलावा किसी अन्य तंत्र द्वारा भरोसेमंद बनाया जाता है, जैसे कि सुरक्षित भौतिक वितरण। उदाहरण के लिए, कुछ सबसे प्रसिद्ध रूट सर्टिफिकेट ऑपरेटिंग सिस्टम में उनके निर्माताओं द्वारा वितरित किए जाते हैं। Microsoft, Microsoft रूट सर्टिफिकेट  प्रोग्राम के सदस्यों से संबंधित रूट सर्टिफिकेट ों को Windows डेस्कटॉप और Windows 8 फ़ोन पर वितरित करता है। Apple अपने स्वयं के सार्वजनिक कुंजी सर्टिफिकेट #रूट प्रोग्राम के सदस्यों से संबंधित रूट सर्टिफिकेट  वितरित करता है।

2011 का डिजीनोटर हैक
2011 में, नीदरलैंड सर्टिफिकेट प्राधिकरण DigiNotar को सुरक्षा भंग का सामना करना पड़ा। इसके कारण विभिन्न कपटपूर्ण सर्टिफिकेट  जारी किए गए, जिनका ईरानी जीमेल उपयोगकर्ताओं को लक्षित करने के लिए दुरूपयोग किया गया। DigiNotar सर्टिफिकेट ों में भरोसा वापस ले लिया गया था और कंपनी के परिचालन प्रबंधन को डच सरकार ने अपने कब्जे में ले लिया था।

चीन इंटरनेट नेटवर्क सूचना केंद्र (सीएनएनआईसी) नकली सर्टिफिकेट जारी करना


2009 में, चीन इंटरनेट नेटवर्क सूचना केंद्र (CNNIC) के एक कर्मचारी ने Mozilla के रूट सर्टिफिकेट सूची में CNNIC को जोड़ने के लिए Mozilla पर आवेदन किया और स्वीकृत किया गया था। बाद में, Microsoft ने CNNIC को विंडोज के रूट सर्टिफिकेट लिस्ट में भी जोड़ा।

2015 में, कई उपयोगकर्ताओं ने CNNIC द्वारा जारी किए गए डिजिटल सर्टिफिकेट ों पर भरोसा नहीं करना चुना क्योंकि CNNIC द्वारा जारी एक मध्यवर्ती CA को Google डोमेन नामों के लिए नकली सर्टिफिकेट जारी करने के लिए पाया गया था। और CNNIC द्वारा सर्टिफिकेट  जारी करने की शक्ति के दुरुपयोग के बारे में चिंता व्यक्त की। 2 अप्रैल 2015 को, Google ने घोषणा की कि वह CNNIC द्वारा जारी किए गए इलेक्ट्रॉनिक सर्टिफिकेट को अब मान्यता नहीं देता है।   4 अप्रैल को, Google का अनुसरण करते हुए, मोज़िला ने भी घोषणा की कि वह CNNIC द्वारा जारी किए गए इलेक्ट्रॉनिक सर्टिफिकेट  को अब मान्यता नहीं देता है।  अगस्त 2016 में, CNNIC की आधिकारिक वेबसाइट ने स्वयं द्वारा जारी किए गए रूट सर्टिफिकेट  को छोड़ दिया था और इसे DigiCert द्वारा जारी सर्टिफिकेट  के साथ बदल दिया था।

WoSign और StartCom: नकली और बैकडेट सर्टिफिकेट जारी करना
2016 में, WoSign, Qihoo 360 के स्वामित्व वाला चीन का सबसे बड़ा CA सर्टिफिकेट जारीकर्ता और इसकी इज़राइल राज्य की सहायक कंपनी StartCom को Google द्वारा उनके सर्टिफिकेट ों की मान्यता से वंचित कर दिया गया था।

WoSign और StartCom ने केवल पांच दिनों में एक ही क्रमांक के साथ सैकड़ों सर्टिफिकेट जारी करने के साथ-साथ बैकडेट सर्टिफिकेट  जारी करने का खुलासा किया। WoSign और StartCom ने नकली GitHub सर्टिफिकेट  भी जारी किया। Microsoft ने भी 2017 में कहा था कि वे प्रासंगिक सर्टिफिकेट ों को ऑफ़लाइन हटा देंगे, लेकिन फरवरी 2021 में उपयोगकर्ताओं ने अभी भी बताया कि WoSign और StartCom के सर्टिफिकेट अभी भी विंडोज 10 में प्रभावी थे और उन्हें केवल मैन्युअल रूप से हटाया जा सकता था।

यह भी देखें

 * ऑनलाइन सर्टिफिकेट स्थिति प्रोटोकॉल (OCSP)
 * एसएचए-1
 * समय-चिह्न
 * Verisign