Certificado raiz

Em criptografia e segurança de computador, um certificado raiz é um certificado de chave pública que identifica uma autoridade de certificação raiz (CA).^[1] Os certificados raiz são autoassinados (e é possível que um certificado tenha vários caminhos de confiança, digamos se o certificado foi emitido por uma raiz com assinatura cruzada) e formam a base de uma infraestrutura de chave pública baseada em X.509 (PKI). Ou ele combinou o Identificador de Chave de Autoridade com o Identificador de Chave de Assunto, em alguns casos não há nenhum identificador de Chave de Autoridade, então a string do emissor deve corresponder à string do Assunto (RFC 5280). Por exemplo, as PKIs que suportam HTTPS^[2] para navegação segura na web e esquemas de assinatura eletrônica dependem de um conjunto de certificados raiz.

Uma autoridade de certificação pode emitir vários certificados na forma de uma estrutura em árvore. Um certificado raiz é o primeiro certificado da árvore, cuja chave privada é usada para "assinar" outros certificados. Todos os certificados assinados pelo certificado raiz, com o campo "CA" definido como verdadeiro, herdam a confiabilidade do certificado raiz - uma assinatura por um certificado raiz é um tanto análogo a "notarizar" a identidade no mundo físico. Esse certificado é denominado certificado intermediário ou certificado CA subordinado. Certificados mais abaixo na árvore também dependem da confiabilidade dos intermediários.

O certificado raiz geralmente se torna confiável por algum mecanismo diferente de um certificado, como por distribuição física segura. Por exemplo, alguns dos certificados raiz mais conhecidos são distribuídos em sistemas operacionais por seus fabricantes. Microsoft distribui certificados de raiz pertencentes a membros do Microsoft Root Certificate Program para o Windows desktops e Windows Phone 8.^[2] A Apple distribui certificados raiz pertencentes a membros de seu próprio programa raiz.