什么是根证书？在SSL加密中扮演的关键角色揭秘

我们来详细解释一下根证书及其在SSL/TLS中的作用。
"什么是根证书 (Root Certificate)？"
1. "定义：" 根证书是由"根证书颁发机构 (Root Certificate Authority, RCA)" 自签名的数字证书。这意味着根证书的颁发者和持有者（即证书本身）是同一个人或同一个实体，它没有指向任何其他证书颁发机构，因此构成了证书信任链的"顶端"。 2. "自签名：" 因为没有更高的证书来验证它的签名，根证书必须自我签名。其有效性完全基于对其签发机构的"信任"。这种信任通常是通过操作系统、浏览器、邮件客户端等软件预装或手动安装的根证书列表来建立的。 3. "作用：" 根证书的核心作用是"信任根"。它证明了持有该证书的CA拥有"签发其他证书的权限"。当根证书被信任时，意味着用户或系统信任该CA签发的"所有"下级证书（即中间CA证书和最终实体证书）。 4. "来源：" 根证书由大型、受信任的证书颁发机构（如 GlobalSign, DigiCert, Let's Encrypt, Microsoft, Apple 等）创建，并被全球范围内的操作系统和应用程序供应商（如Windows, macOS, Android, iOS, Chrome, Firefox等）预装，以便用户和系统能够自动信任由这些CA签发的证书

相关内容：

在申请SSL证书的时候，我们总会听到一个概念，那就是根证书。什么是根证书呢？一文带你了解。

众所周知，网站所部署的SSL证书，并不是简简单单一张证书，它是由几张证书构成一条证书链，用来保护网站的信息安全。证书链中，不同的证书扮演着不同的角色，它们互相关联，且缺一不可。一张完整的SSL证书，或者称之为一条完全的证书链，是由根证书（Root Certificate）+中间证书（Intermediate Certificate）+服务器证书（Server Certificate）所构成。

根证书是由证书颁发机构，也就是俗称的CA（ Certificate Authority）签发的自签名证书。它是整个证书链的开始，信任级别高。

CA签发根证书，并将其内置于常见的操作系统和浏览器中。当用户访问使用 SSL 证书的网站时，浏览器会自动信任这些根证书，类似于“白名单”一样。根证书存在于操作系统和浏览器的信任列表，大部分浏览器也支持查看列表。

360浏览器信任列表（部分）

Chrome浏览器信任列表（部分）

在了解完根证书的概念之后，我们会有一个问题。如果我要买SSL证书，是不是找根证书所属的CA机构就可以了？其实不然，证书链中还有一个非常重要的角色，那就是中间证书。

中间证书是由根证书或更高一级中间证书颁发的，用来为服务器证书提供一个中间的信任层。中间证书的主要目的是在根证书和服务器证书之间建立一个链式结构，使得根证书不直接参与到每个网站的证书签发。回到刚刚的问题上，肯定还会有下一个疑问：为什么不直接让根证书对服务器证书签名呢，这样不是多此一举吗？

实际并不是这样的，CA之所以使用中间证书对服务器证书进行签名，而不是直接签名，是为了安全性考虑，防止根证书泄露或受到攻击时，一旦根证书失效，整个 CA 的信任链都会崩溃。举一个非常简单的例子，我们在进行很多资料提交的时候，比如招投标、注册某些平台账号，做身份证验证时，会提供营业执照和身份证的复印件，并不会直接用原件来申请，因为原件一旦丢失，我们整个身份信息的源头就断了；反之，使用复印件的话，如果丢失，还可以再次复印，如果被盗用，我们可以用原件做出申明。

所以，使用中间证书来做签发，如果遇到问题，那么根证书可以即时签发新的中间证书，减少很多不必要的麻烦。这也是市面上，同一个根证书，下面会有各种各样的品牌的原因，其实这个品牌就是中间证书的签发机构。签发机构大致可以划分为两种，一种是CA的子公司，目前国外品牌都是这种方式，另外一种就是CA机构委托战略合作机构来做签发，目前国内证书都采用这种方式，实际上和第一种方式差不多。当然也会有一些公司，只是代理公司，他们拿来CA子公司的证书，对外去做代售，还大肆攻击竞争对手，其实他们才是不保险的合作选择。

了解完根证书和中间证书，我们在申请证书的时候，就可以做出自己有效的判断。如何选择：

1、首先要找权威且性能良好的CA机构，确保证书在源头上就比较可靠；

2、其次要找口碑良好且受众群体比较大的签发机构，目前国内有很多比较知名的签发机构，他们依托优质的CA，在经过封装之后，满足国内用户的使用情况，能够实现国内签发、国际通用。当然也可以寻找有保障的代售平台，比如各个云平台，也不失为一种好的选择；

3、切勿选择一些不可靠的代售公司，一方面证书未经封装，国内网络环境会有卡顿延迟，另外就是售后极难有保障。