¿Por qué se requieren autoridades de certificación intermedias? ¿Cuándo se usaría un certificado intermedio? ¿Cómo verifico la cadena desde el certificado intermedio hasta el certificado raíz? ¿Cuáles son ejemplos de certificados intermedios que enlazan con certificados raíz?
37
Respuestas:
A veces, para proteger la clave privada de la CA raíz, se almacena en una ubicación muy segura y solo se utiliza para firmar algunos certificados intermedios, que luego se utilizan para emitir certificados de entidad final. En caso de compromiso, los intermedios se pueden revocar rápidamente, sin tener que reconfigurar cada máquina para confiar en una nueva CA.
Otra posible razón es la delegación: por ejemplo, empresas como Google, que a menudo usan muchos certificados para sus propias redes, tendrán una CA intermedia propia.
Por lo general, la entidad final (por ejemplo, un servidor web SSL / TLS) le proporciona toda la cadena de certificados, y todo lo que tiene que hacer es verificar las firmas.
El último en esa cadena es el certificado raíz, que ya ha marcado como confiable.
Por ejemplo, cuando tiene una cadena [usuario] → [intermed-1] → [intermed-2] → [raíz] , la verificación es la siguiente:
¿El [usuario] tiene [Intermed-1] como su "Emisor"?
¿Tiene [usuario] una firma válida con la clave de [intermed-1] ?
¿El [Intermed-1] tiene [Intermed-2] como su "Emisor"?
¿Tiene [intermed-1] una firma válida con la clave de [intermed-2] ?
¿El [Intermed-2] tiene [root] como su "Emisor"?
¿Tiene [intermed-2] una firma válida con la clave de [root] ?
Dado que [raíz] está en la parte inferior de la cadena y se presenta como "Emisor", ¿está marcado como confiable?
El proceso es exactamente el mismo todo el tiempo; la existencia y el recuento de AC intermedias no importa. El certificado de usuario puede ser firmado por root directamente, y se verificará de la misma manera.
Consulte la información del certificado de https://twitter.com/ o https://www.facebook.com/ para conocer las cadenas que contienen tres o cuatro certificados. Consulte también https://www.google.com/ para ver un ejemplo de la propia autoridad de certificación de Google.
fuente