Ho letto un articolo e vi è stato introdotto un certificato di collegamento (circa una mezza frase). Ora voglio sapere che cosa è esattamente un certificato di collegamento?
Presupposto: viene utilizzato un certificato di collegamento, quando un vecchio certificato viene sostituito da uno nuovo. Il certificato di collegamento è il nuovo certificato firmato con la vecchia chiave privata. In modo che con la vecchia chiave pubblica, il nuovo certificato potrebbe essere verificato.
@ La risposta di SebastianOerding è buona, ma proverò una spiegazione diversa sviluppando il concetto di un certificato incrociato.
Supponiamo che tu abbia due CA separate e desideri che i client di CA1 (ovvero quelli con CA1 nei loro archivi fiduciari) si fidino dei certificati emessi da CA2. Vuoi farlo senza aggiungere CA2 al loro negozio di fiducia.
La soluzione è un certificato incrociato , da Microsoft documentazione:
Cross certification enables entities in one public key infrastructure (PKI) to trust entities in another PKI. ... A mutual trust relationship between two CAs requires that each CA issue a certificate to the other to establish the relationship in both directions. The path of trust is not hierarchal (neither of the governing CAs is subordinate to the other).
Quindiogniradicerilasciauncertificatocontenentelachiavepubblicadell'altro(autofirmato)CAprincipale.Ciòconsenteaimotoridiconvalidadeipercorsidi"fingere" che il certificato di autofirmazione radice di CA2 sia stato emesso dal certificato trasversale, che è stato emesso da CA1.
Ora, pensate a un certificato di collegamento come caso speciale di un certificato incrociato in cui CA1 e CA2 sono due certificati radice diversi per la stessa CA (vale a dire la stessa CA DN), ma con diverse chiavi pubbliche (e probabilmente anche diversa scadenza date, numero di serie, posizione CRL, ecc.)
La scadenza del codice radice è un problema perché, per quanto riguarda i client, è una CA nuova di zecca. I certificati di collegamento colmano tale lacuna dicendo ai clienti che questo nuovo certificato radice sostituisce quello scaduto nel loro archivio fidato.
La tua ipotesi è corretta. Tuttavia, per evitare una convalida del percorso del certificato con certificati CA scaduti al termine, è possibile avere un tale certificato di collegamento e un altro certificato dalla stessa CA con la stessa nuova chiave pubblica autofirmata (utilizza la nuova chiave privata corrispondente al nuovo chiave pubblica). In questo modo è possibile passare agevolmente dal vecchio certificato CA a quello nuovo e il percorso del certificato non termina con un certificato scaduto né aumenta. In tal caso, i certificati CA devono utilizzare le estensioni AuthorityKeyIdentifier / SubjectKeyIdentifier per semplificare le cose.
Leggi altre domande sui tag public-key-infrastructure certificates