Что это за SSL-сертификаты в новой версии Ubuntu?

Чтобы использовать SSL/TLS, вам необходимо иметь корневые сертификаты центра сертификации. Вот как ваш компьютер может видеть, что сертификат SSL действительно действителен. Это ключ к безопасности вашей системы, SSL "сети доверия" и защите учетных данных вашего банковского счета от гнусных участников.

Любой может создать сертификат SSL и подписать его. Они могут сделать это для любого домена. Центры сертификации выполняют роль обеспечения того, чтобы сертификаты создавались только для доменов, принадлежащих запрашивающему объекту. Ваш компьютер не примет сертификат для google.com если он не подписан доверенным центром сертификации, а не кем-то, генерирующим случайный сертификат.

Вы должны начать свое доверие где-то. Большинство людей позволяют своей операционной системе определять сертификаты, зная, что этими сертификатами управляют умные люди. В некоторых случаях вы можете отказаться от некоторых из этих сертификатов, но вряд ли это хорошая идея для вас сейчас.

Центры сертификации должны следовать передовым методам, таким как холодное хранение своего корневого сертификата, который используется для создания промежуточных сертификатов. Это означает, что вероятность компрометации корневого сертификата уменьшена, в то же время позволяя системам / сотрудникам использовать промежуточный сертификат для создания сертификатов для клиентов и т. Д. Это важно, поскольку оно обеспечивает долгосрочное, установленное доверие к корневым сертификатам, Допуская практический способ предоставления сертификатов клиентов.

Аналогичный вопрос был задан, какова цель использования ca-certificates пакет?, Кроме того, Let's Encrypt - это недавний пример того, как компания, использующая подписанный промежуточный сертификат, вскоре (апрель 2019 г.) полагается на свой "корневой сертификат ISRG", который был принят во многих основных операционных системах. Следование истории Let's Encrypt может дать вам больше понимания и практического примера.