Perché sono richieste le autorità di certificazione intermedie? Quando verrà utilizzato un certificato intermedio?
A volte, per proteggere la chiave privata della CA principale, viene archiviata in una posizione molto sicura e utilizzata solo per firmare alcuni certificati intermedi, che vengono quindi utilizzati per emettere certificati delle entità finali. In caso di compromesso, gli intermedi possono essere revocati rapidamente, senza dover riconfigurare ogni singolo computer per fidarsi di una nuova CA.
Un'altra possibile ragione è la delega: ad esempio, aziende come Google, che spesso usano molti certificati per le proprie reti, avranno una propria CA intermedia.
Come posso verificare la catena dal certificato intermedio al certificato radice?
Di solito, l'entità finale (ad esempio un server Web SSL / TLS) ti fornisce l'intera catena di certificati e tutto ciò che devi fare è verificare le firme.
L'ultimo di quella catena è il certificato radice, che hai già contrassegnato come attendibile.
Ad esempio, quando hai una catena [utente] → [intermed-1] → [intermed-2] → [root] , la verifica è così:
Non [utente] ha [intermed-1] come il suo "Emittente"?
Non [utente] ha una firma valida dal [intermed-1] chiave 's?
Non [intermed-1] hanno [intermed-2] come il suo "Emittente"?
Non [intermed-1] ha una firma valida dal [intermed-2] chiave 's?
Non [intermed-2] hanno [root] come il suo "Emittente"?
Non [intermed-2] ha una firma valida dal [root] chiave 's?
Poiché [root] è nella parte inferiore della catena e ha se stesso come "Emittente", è contrassegnato come attendibile?
Il processo è sempre lo stesso; l'esistenza e il conteggio delle CA intermedie non contano. Il certificato utente può essere firmato direttamente da root e verrà verificato allo stesso modo.
Quali sono esempi di certificati intermedi che si collegano ai certificati radice?
Vedere le informazioni sul certificato di https://twitter.com/ o https://www.facebook.com/ per le catene contenenti tre o quattro certificati. Vedi anche https://www.google.com/ per un esempio dell'autorità di certificazione di Google.