Ho sempre pensato che il processo per ottenere un certificato (fidato, non autofirmato) fosse più o meno così:
- Genera una coppia di chiavi pubblica e privata
- Da questa coppia di chiavi si genera un certificato
- Invia la tua chiave pubblica, il certificato e altre informazioni (aziendali) a una CA
- La CA controlla che le informazioni fornite siano corrette
- La CA firma il tuo certificato
Tuttavia, ultimamente sto dubitando di questo. La gente mi ha detto che in effetti la stessa CA genera la coppia di chiavi pubbliche e private e il certificato e la firma e invia tutto questo a te ... Questo mi sembrerebbe molto insicuro nel senso che tutte le chiavi private di tutti i certificati sarebbe nelle mani di pochi CA.
Ho letto questa domanda con molto interesse: In che modo le autorità di certificazione memorizzano le proprie chiavi radice private? . Tuttavia, discute solo le chiavi private della CA.
Quindi le CA hanno una copia delle chiavi private dei certificati che firmano o no?