Auf dem Gebiet der Kryptografie und Informationssicherheit ist eine
Wurzelzertifikat (auch als Root-Zertifikat oder Stammzertifikat bezeichnet) ein
unsigniertes Public-Key-Zertifikat oder selbstsigniertes Zertifikat einer oberen
Zertifizierungsstelle (Root-CA), das dazu dient, die Gültigkeit aller
untergeordneten Zertifikate zu validieren. Wurzelzertifikate sind ein wichtiger
Bestandteil eines Public-Key-Infrastruktursystems (PKI-Systems). Die am
häufigsten verwendete kommerzielle Variante basiert auf dem ISO
X.509-Standard.
Ein X.509-Zertifikat enthält in der Regel Informationen über den Namen des
Inhabers, dessen öffentlichen Schlüssel, eine Gültigkeitsdauer sowie den
Namen der Zertifizierungsstelle (engl. Certificate Authority oder kurz
"CA"). Die Zertifizierungsstelle signiert diese Informationen mit ihrem privaten Schlüssel und bestätigt dadurch die Korrektheit der in dem
Zertifikat enthaltenden Angaben. Das Zertifikat kann mit dem zugehörigen
öffentlichen Schlüssel der Zertifizierungsstelle überprüft werden.
Dies setzt wiederum voraus, dass die Authentizität und die Integrität
dieses öffentlichen Schlüssels der Zertifizierungsstelle überprüfbar ist, d.
h. die Zertifizierungsstelle benötigt ebenfalls ein Zertifikat. Dieses kann sie
z. B. von einer übergeordneten Zertifizierungsstelle erhalten, die wiederum ein
Zertifikat von einer übergeordneten CA benötigt usw..
Auf diese Weise erhält
man eine Hierarchie oder Kette von Zertifikaten, die überprüft werden müssen,
um die Gültigkeit eines Zertifikats zu überprüfen. Diese
Zertifikatshierarchie muss jedoch an irgendeiner Stelle enden und an
dieser Stelle steht das Wurzelzertifikat. Wurzelzertifikate werden von
keiner anderen Zertifizierungsinstanz ausgestellt und enthalten keinen
nachprüfbaren Verweis auf ein anderes Zertifikat. Die oberste
Zertifizierungsstelle (Root CA) signiert ihr eigenes Zertifikat selbst. Das
Wurzelzertifikat bildet damit den gemeinsamen Vertrauensanker aller ihm
untergeordneter Zertifikate.
Wurzelzertifikate sind implizit vertrauenswürdig. Damit
Anwendungsprogramme Zertifikate überprüfen können, muss das übergeordnete
Wurzelzertifikat in dem Anwendungsprogramm installiert sein. Viele Softwareanwendungen enthalten bereits Listen vorinstallierter
Wurzelzertifikate verschiedener Zertifizierungsstellen. Das wohl bekannteste Beispiel sind Webbrowser; hier werden
sie für sichere SSL-/TLS-Verbindungen verwendet. Es bleibt der
Entscheidung des Benutzers oder der Benutzerin überlassen, ob er/sie diesen
Zertifikaten vertrauen möchte, da man sich bei ihrer Verwendung implizit darauf
verlässt, dass der Herausgeber des Browser "korrekte"
Wurzelzertifikate aufgenommen hat, und man den Zertifizierungsstellen vertraut,
denen dieser vertraut sowie jedem anderen, für den die Zertifizierungsstelle
möglicherweise ein "Zertifikat-ausstellendes-Zertifikat" ausgestellt
hat, und darauf vertraut, dass diese die Identität der Benutzer aller ihrer
Zertifikate wahrheitsgemäß beglaubigt. Dieses (transitive) Vertrauen in ein
Wurzelzertifikat ist im Normalfall nur hypothetisch, da es in der Praxis keine
Möglichkeit gibt, es besser zu fundieren, aber es ist ein integraler
Bestandteil des X.509-Zertifikat-Kettenmodells.
