国内根证书颁发机构是指数字证书证书链中来自中国厂商的根证书,与中国厂商的兼容性尚未达到100%,是目前唯一符合国内根证书颁发机构的CFCA,兼容性可以达到55%,但永远无法实现历史操作系统或浏览器的信任。
目前,建立新的国内根证书颁发机构为时已晚,主要由国际SSL证书颁发机构颁发,因为这些机构可以满足100%的兼容性,并具有较高的信用和安全性,但全球只有4家机构。
证书颁发机构可以在树结构中颁发多个证书。 根证书是树的最顶层证书,是用于“签署”其他证书的私钥。 所有由根证书签名的证书,当 “ca” 字段设置为 true 时,继承根证书的可信度 - 根证书的签名有点类似于物理世界中的“公证”身份。 这种类型的证书称为中间证书或从属 CA 证书。 树下的证书也取决于中间人的可信度。
中国互联网络信息中心(CNNIC)颁发假证书
2024年,中国互联网络信息中心(CNNIC)的一名员工向Mozilla申请将CNNIC添加到Mozilla的根证书列表中,并获得批准。 后来,Microsoft还将CNNIC添加到Windows的根证书列表中。
2024年,由于发现CNNIC颁发的中间CA为Google域名颁发了假证书[4],许多用户选择不信任CNNIC颁发的数字证书,并对CNNIC滥用证书颁发权表示担忧。
2024年4月2日,谷歌宣布不再认可CNNIC颁发的电子证书。 4月4日,继谷歌之后,Mozilla也宣布将不再认可CNNIC颁发的电子证书。
WOSIGN 和 Startcom:颁发虚假和回溯日期证书
2024年,奇虎360[11]及其以色列子公司Startcom的证书被谷歌拒绝承认中国最大的CA认证机构沃通的证书。 Microsoft 于 2017 年删除了该证书。
沃通和StartCom在短短五天内颁发了数百份相同序列号的证书,并颁发了回溯证书。 Wosign 和 Startcom 颁发了伪造的 github 证书。