Is that correct? Is there another benefit?
Una CA root offline sacrifica la comodità per ottenere sicurezza.
But, anyway, CA must issue new Intermediate CA certificates and revoke
the old ones... so the only benefit that I can find is that CA issue
different Intermediate certificate for different purposes.
Sì, in caso di Intermediate compromesso, la CA principale deve essere utilizzata per revocare vecchi e rilasciare nuovi certificati ... tuttavia, come si nota, stiamo assumendo che
the Root CA is offline
quindi, a differenza di una CA intermedia, non è possibile connettersi semplicemente in rete, inviare il CSR e ottenere il certificato indietro. "Offline" in questo contesto di solito significa " air-gapped ." Qualcuno deve comprimere il CSR per il nuovo Intermedio su un disco USB, andare al server room, sedersi alla tastiera di fronte alla CA Root ed eseguire l'operazione localmente. Il nuovo certificato deve essere inserito nel disco USB e trasferito all'esterno, quindi connesso a un sistema in rete per consentirne il caricamento nella CA intermedia.
Farlo quando è necessario aggiornare i certificati intermedi non è difficile. Farlo in qualsiasi volume diventa poco pratico, motivo per cui le CA radice generalmente non firmano i singoli certificati.
Da quel momento in poi, la CA intermedia inizia la firma delle richieste di certificato, ma in modalità online - le connessioni di rete trasmettono i CSR e le connessioni di rete distribuiscono i certificati.
Quindi la differenza è che l'Intermediate CA è online per una rapida e comoda assistenza delle richieste. La CA principale non è in linea per una manutenzione lenta, impacciata ma più sicura delle richieste. L'uso di più CA intermedie consente al "rischio" di avere l'autorità online e accessibile per essere suddivisa in diversi insiemi di certificati; le uova sono distribuite in diversi cesti.