Центр сертификации - выдача путаницы
Это вопрос новичка, но моя голова зажарена после прочтения различных статей о том, как работает CA.
Являются ли большинство сертификатов выпущенными "промежуточным ЦС", где цепочка в конечном итоге ведет к корневому ЦС?
Так, например, если я запрашиваю сертификат у VeriSign, делегируют ли они задачу промежуточному ЦС для "распространения" выдачи сертификатов?
Затем мой сертификат будет проверен с помощью промежуточного сертификата, который, в свою очередь, будет проверен корневым центром сертификации, завершив цепочку аутентификации?
Если это так, то была ли когда-либо ситуация, когда корневой ЦС будет выдавать сертификат непосредственно компании / организации, которая запросила сертификат?
1 ответ
Да, это наиболее распространенная модель для общедоступных ЦС, в основном потому, что "корневой ЦС" обычно отключен. Вы не можете украсть ключ / или скомпрометировать компьютер, если он не в сети. (по крайней мере, не по сети)
Кроме того, если промежуточный (выдающий) CA get скомпрометирован, CA может просто отозвать этот подпакет, не имея дело с получением нового корневого CA, сохраненного во всех браузерах и прочем.
Вполне могут быть ситуации, когда вы получаете сертификаты, подписанные непосредственно от корневого ЦС, но это не распространено среди "Доверенных публичных корневых ЦС", которые существуют в AFAIK.