Термин «корневой сертификат» хорошо знаком тем, кто занимается продвижением веб-ресурсов. Это объясняется легко – попадают в топ-10 поисковых систем преимущественно «доверенные» сайты, с подключенным SSL-сертификатом (протокол HTTPS). Без него тот же Google Chrome ставит в адресной строке метку с открытым замком, а то и вовсе блокирует вход на страницу.
Основные тезисы статьи
- Корневой сертификат CA находится в основе цепочки доверия SSL и подтверждает, что центр сертификации легитимен.
- Благодаря ему браузер может проверить, кому выдан сертификат сайта, безопасно ли соединение и стоит ли доверять HTTPS-странице.
- В статье объясняется, как устроена цепочка сертификатов, где посмотреть корневой сертификат, зачем он нужен для защиты от фишинга и перехвата данных, а также почему самостоятельный выпуск CA не заменяет доверенный сертификат для публичного сайта.
Что представляет собой корневой сертификат (CA)
Защищенное соединение гарантирует шифрование информации, передаваемой между сервером и клиентом. Кроме того, оно подтверждает подлинность ресурса, обеспечивая тем самым защиту от фишинга с целью кражи персональных данных (от ФИО до номера банковской карты вместе с секретным CVC-кодом). Шифрование «обесценивает» перехват, который возможен как локально, на уровне роутера в квартире, так и на удаленном сервере.

Корневой сертификат (CA) представляет собой часть ключа SSL, которым центр сертификации подписывает выпускаемые сертификаты. Наличие CA гарантирует, что выдавшая его организация верифицирована и легальна.
Именные сертификаты, выдаваемые центрами вроде Comodo или Symantec, ценятся больше.
Ценность сертификата очень важна, потому что распространенные браузеры умеют идентифицировать лицо, выпускающее CA, и проверять его легитимность. Если у сайта нет «поручителя», он будет считаться недостоверным, даже несмотря на полную безопасность для конечного пользователя. Такое иногда происходит с бесплатными сертификатами типа Let’s Encrypt (генерируются автоматически после регистрации домена в панели управления хостингом).
Корневой сертификат зависит от остальных «частей» SSL – промежуточной и индивидуальной. Они выдаются одновременно и вносятся в соответствующие поля при ручной настройке безопасности. Фактически создается цепочка взаимной проверки, когда корневой сертификат подтверждает иные части ключа. Если ответ на запрос верен, браузер помечает веб-ресурс как защищенный (замочек в адресной строке) и открывает его без каких-либо предупреждений. Здесь может пригодиться материал «Что такое SSL-сертификат и чем он опасен».
Где взять корневой сертификат
SSL-сертификат (вместе с CA) выдается удостоверяющими центрами. К наиболее популярным центрам сертификации относятся Let’s Encrypt, Comodo, Symantec, Digicert, GeoTrust. Купить сертификат можно на сайте одного из центров или воспользоваться панелью управления хостинг-провайдера.

Полезно отдельно посмотреть, для чего и где применяется SSL-сертификат. А чтобы лучше понимать техническую часть настройки, дополнительно разберите Comodo Positive SSL и Let’s Encrypt: плюсы и минусы.
Разновидности сертификатов (на примере провайдера Timeweb):
- SSL Timeweb Pro – простейший вариант защиты, устанавливаемый автоматически.
- Sectigo Positive SSL – базовый уровень безопасности (минимально рекомендуемый).
- Sectigo InstantSSL – проводится расширенная проверка организации со стороны центра.
- Sectigo Positive SSL Wildcard – действие распространяется на все поддомены.
- Sectigo EV SSL – подходит для банков, финансовых организаций, интернет-магазинов.
Сертификаты из трех последних пунктов высылаются в виде ZIP-архива или текстового сообщения с указанием всех «частей» SSL, в том числе корневого. То же происходит при продлении услуги (после оплаты) – за 30 дней до завершения периода ранее купленного сертификата обычно становится доступной функция продления.
Если нужно перейти от теории к настройке, пригодится материал «Как исправить ошибки безопасности SSL в браузере».
Можно ли создать корневой сертификат самостоятельно?
Рядовому пользователю выпустить корневой сертификат нереально. Все существующие варианты для этого применяются только на период локального тестирования веб-ресурса, когда нет разницы, как воспринимает браузер такой CA. Чтобы создать легитимный ключ безопасности, понадобится самому стать «центром сертификации». Это хлопотное и затратное дело, поэтому проще обратиться к одной из существующих организаций.

Технология создания простейшего CA в ОС Windows:
- Открыть панель управления.
- Зайти в раздел «Администрирование».
- Выбрать пункт «Диспетчер служб IIS».
- Перейти в раздел «Сертификаты сервера».
- Найти пункт «Создать самозаверенный сертификат».
- В открывшемся окне ввести название сертификата.
- Привязать созданный SSL к серверу.
Последнее выполняется выбором нужного доменного имени в подразделе «Подключения» раздела «Сертификаты сервера». В столбце «Действия» нужно нажать на «Привязки…», в открывшемся окне «Добавление привязки сайта» ввести сведения о привязке и нажать «ОК». После создания сертификата остается экспортировать приватный ключ и задать пароль на выполнение изменений.