根 SSL 证书是由受信任的证书颁发机构 （CA） 颁发的证书。

在 SSL 生态系统中，任何人都可以生成签名密钥并使用它对新证书进行签名。但是，除非该证书由受信任的 CA 直接或间接签名，否则该证书不被视为有效。

受信任的证书颁发机构是有权验证某人是否是他们所声称的身份的实体。为了使此模型正常工作，所有参与者必须就一组受信任的 CA 达成一致。所有操作系统和大多数 Web 浏览器都附带一组受信任的 CA。

SSL 生态系统基于信任关系模型，也称为“信任链”。当设备验证证书时，它会将证书颁发者与受信任的 CA 列表进行比较。如果未找到匹配项，则客户端将检查颁发 CA 的证书是否由受信任的 CA 颁发，并继续检查直到证书链的末尾。链的顶部（根证书）必须由受信任的证书颁发机构颁发。