Autoridade de Certificação - Confusão da Autoridade de Emissão

2

Esta é uma questão de novato, mas minha cabeça está frita depois de ler vários artigos diferentes sobre como o trabalho da CA.

A maioria dos certificados é emitida por uma 'CA intermediária' em que a cadeia eventualmente leva de volta a uma CA raiz?

Então, por exemplo, se eu solicitar um certificado da VeriSign, eles delegam a tarefa a uma CA Intermediária para 'distribuir' a emissão de certificados?

Meu certificado seria então verificado com o certificado Intermediário que, por sua vez, seria verificado pela CA raiz, completando a cadeia de autenticação?

Se esse for o caso, existe alguma situação em que a CA raiz emite um certificado diretamente para uma empresa / organização que solicitou um certificado?

    
por StephenC 23.04.2014 / 14:29

1 resposta

2

Sim, esse é o modelo mais comum para CAs públicas, principalmente porque o "ca raiz" geralmente está offline. Você não pode roubar a chave ou comprometer uma máquina se ela estiver off-line. (pelo menos não através da rede)

Além disso, se o CA (emissão) intermediário for comprometido, a CA poderia apenas revogar esse sub-ca, sem ter que lidar com a obtenção de uma nova autoridade de certificação raiz em todos os navegadores.

Pode muito bem haver situações em que você recebe certificados assinados diretamente de uma CA raiz, mas não é comum entre os "CAs raiz confiáveis" do AFAIK.

    
por 23.04.2014 / 14:36