Nell'architettura X.509 quali sono gli usi dei certificati di cross signing da un'altra gerarchia?
Espande solo la fiducia?
Quindi dalla risposta sto assumendo che se CA3 è firmato in modo incrociato da CA2 (da un'altra gerarchia) e CA1 (un genitore nella sua stessa gerarchia) la cui chiave privata viene utilizzata per crittografare l'hash di autenticazione nel certificato di CA3?
Riguarda la fiducia in espansione, sì. Se ti fidi sia di CA1 che di CA2 e un certificato è firmato da entrambi, hai un livello molto alto di fiducia perché due entità seaparate di cui ti fidi hanno verificato il certificato.
Ha il vantaggio aggiuntivo di aumentare la facilità di verifica della fiducia, come le situazioni in cui hai clienti che si fidano di CA1 o CA2 (ma non di entrambi). In tal caso, è possibile firmare a croce un cert di cui si fidano entrambi. Ciò consente a più clienti di verificare la fiducia senza dover distribuire certificati separati per CA diverse.
Un altro bonus è nelle situazioni in cui la chiave privata di una CA è trapelata. Diciamo che le perdite chiave di CA1 e il certificato sono firmati da CA1 e CA2. In seguito alla perdita, CA1 rilascia una revoca per la sua chiave pubblica e non è più possibile fidarsi di qualsiasi cosa emessa da CA1. Tuttavia, poiché il tuo certificato di convalida è firmato anche con CA2, qualsiasi client che si fida di CA2 può ancora mantenere un livello di fiducia nel tuo certificato.
Le specifiche X.509 supportano solo una firma. Dalla RFC che li riguarda:
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
Per supportare più signatureValue dovresti fare qualcosa come "signatureValue SEQUENCE OF BIT STRING" e apportare qualche altra modifica.
Se possiedi un certificato X.509 che è stato firmato da più CA, mi piacerebbe vederlo e fare un po 'di chiarezza su di esso!
Leggi altre domande sui tag x.509