Auf dem Gebiet der Kryptografie und Informationssicherheit ist ein Wurzelzertifikat (auch als Root-Zertifikat oder Stammzertifikat bezeichnet) ein unsigniertes Public-Key-Zertifikat oder selbstsigniertes Zertifikat einer oberen Zertifizierungsstelle (Root-CA), das dazu dient, die Gültigkeit aller untergeordneten Zertifikate zu validieren. Wurzelzertifikate sind ein wichtiger Bestandteil eines Public-Key-Infrastruktursystems (PKI-Systems). Die am häufigsten verwendete kommerzielle Variante basiert auf dem ISO X.509-Standard.
Ein X.509-Zertifikat enthält in der Regel Informationen über den Namen des Inhabers, dessen öffentlichen Schlüssel, eine Gültigkeitsdauer sowie den Namen der Zertifizierungsstelle (engl. Certificate Authority oder kurz „CA“). Die Zertifizierungsstelle signiert diese Informationen mit ihrem privaten Schlüssel und bestätigt dadurch die Korrektheit der in dem Zertifikat enthaltenden Angaben. Das Zertifikat kann mit dem zugehörigen öffentlichen Schlüssel der Zertifizierungsstelle überprüft werden.
Dies setzt wiederum voraus, dass die Authentizität und die Integrität dieses öffentlichen Schlüssels der Zertifizierungsstelle überprüfbar ist, d. h. die Zertifizierungsstelle benötigt ebenfalls ein Zertifikat. Dieses kann sie z. B. von einer übergeordneten Zertifizierungsstelle erhalten, die wiederum ein Zertifikat von einer übergeordneten CA benötigt usw..
Auf diese Weise erhält man eine Hierarchie oder Kette von Zertifikaten, die überprüft werden müssen, um die Gültigkeit eines Zertifikats zu überprüfen. Diese Zertifikatshierarchie muss jedoch an irgendeiner Stelle enden und an dieser Stelle steht das Wurzelzertifikat. Wurzelzertifikate werden von keiner anderen Zertifizierungsinstanz ausgestellt und enthalten keinen nachprüfbaren Verweis auf ein anderes Zertifikat. Die oberste Zertifizierungsstelle (Root CA) signiert ihr eigenes Zertifikat selbst. Das Wurzelzertifikat bildet damit den gemeinsamen Vertrauensanker aller ihm untergeordneter Zertifikate.
Wurzelzertifikate sind implizit vertrauenswürdig. Damit Anwendungsprogramme Zertifikate überprüfen können, muss das übergeordnete Wurzelzertifikat in dem Anwendungsprogramm installiert sein. Viele Softwareanwendungen enthalten bereits Listen vorinstallierter Wurzelzertifikate verschiedener Zertifizierungsstellen. Das wohl bekannteste Beispiel sind Webbrowser; hier werden sie für sichere SSL-/TLS-Verbindungen verwendet. Es bleibt der Entscheidung der Benutzerin oder des Benutzers überlassen, ob sie/er diesen Zertifikaten vertrauen möchte, da man sich bei ihrer Verwendung implizit darauf verlässt, dass der Herausgeber des Browser „korrekte“ Wurzelzertifikate aufgenommen hat, und man den Zertifizierungsstellen vertraut, denen dieser vertraut sowie jedem anderen, für den die Zertifizierungsstelle möglicherweise ein „Zertifikat-ausstellendes-Zertifikat“ ausgestellt hat, und darauf vertraut, dass diese die Identität der Benutzer aller ihrer Zertifikate wahrheitsgemäß beglaubigt. Dieses (transitive) Vertrauen in ein Wurzelzertifikat ist im Normalfall nur hypothetisch, da es in der Praxis keine Möglichkeit gibt, es besser zu fundieren, aber es ist ein integraler Bestandteil des X.509-Zertifikat-Kettenmodells.