Il CA Root Certificate (in italiano “Certificato SSL Radice” o “Certificato SSL Intermedio“) è un certificato a chiave pubblica utilizzato per definire la Certification Authority (CA) responsabile per l’emissione dei certificati SSL.
Il CA Root Certificate include, solitamente, la firma digitale dell’autorità di certificazione proprietaria. Il certificato radice è alla base dell’emissione di tutti i certificati Secure Sockets Layer creati dalla CA, che attraverso di esso può porne in essere quanti ne desidera.
Il certificato SSL intermedio è usato per “firmare” tutti i certificati SSL creati a seguire, attribuendo a questi ultimi la propria credibilità; è questo il rapporto che introduce il concetto di subordinazione alla base del protocollo SSL.
I CA Root vengono utilizzati, ad esempio, dai browsers di navigazione per verificare le identità in occasione di connessioni SSL. Affinché un certificato intermedio possa essere considerato credibile è necessario lo stesso sia inserito all’interno delle librerie interne dei browsers; questo passaggio non è automatico e allo stesso modo non è garantito a tutti i richiedenti.
Tra le autorità di certificazione che possono fregiarsi di una massiccia inclusione all’interno dei browser è possibile citare RapidSSL, GeoTrust e VeriSign, tutti parte della famiglia Symantec.
I certificati SSL intermedi sono presenti, naturalmente, anche all’interno dei più comuni e recenti dispositivi mobili (es. smartphone, cellulari, tablets), utilizzabili per navigare sul web.
La possibilità di utilizzare un certificato CA root o meno distingue i certificati SSL tra riconosciuti e auto-emessi, quindi generati automaticamente dall’utente sul suo server ma non considerati attendibili da parte dei browser di navigazione.
Questa è la schermata che potrebbe apparire in caso di certificato SSL auto-generato
A cosa serve il certificato SSL intermedio (CA Root)
Tutti le Autorità di Certificazione raccomandano, all’atto dell’installazione di un certificato SSL, di includere il certificato SSL intermedio (CA root) all’interno della stessa.
La presenza del certificato SSL radice consentirà infatti al certificato SSL installato di essere riconosciuto da parte dei browser di navigazione (nel caso in cui questi ultimi non fossero aggiornati all’ultima versione disponibile la libreria contenente la lista delle CA attendibili potrebbe risultare non aggiornata, quindi non completamente affidabile).
Esempio di certificato SSL intermedio GeoTrust per certificato QuickSSL Premium
Certificato SSL 