Qualsiasi persona può scegliere di essere una CA. A Pediatric Heart Center, abbiamo deciso di essere la nostra CA, quindi manteniamo un certificato di root e una chiave privata, e per ogni certificato che firmiamo, aggiorniamo un database con il numero di serie del nuovo certificato e altri dettagli vitali sul certificato quello era firmato. Siamo quindi in grado di fornire questi certificati ai dipendenti per comunicazioni sicure e, poiché tutti i nostri sistemi riconoscono e si fidano della root autofirmata, tutti i certificati secondari che creiamo vengono automaticamente accettati dai sistemi dei nostri dipendenti.
Dove la rete di fiducia diventa un po 'più pelosa è per quei membri del pubblico in generale che devono scegliere di riconoscere il nostro certificato di base e quindi decidere quanta fiducia ci vuole fornire. Per i nostri clienti, siamo in grado di dare loro un po 'di educazione su ciò che possono aspettarsi e su come procedere fornendo "Trust" al nostro certificato radice sui loro vari sistemi.
Ogni browser Web viene fornito con una serie di certificati radice già installati e "pre-attendibili". Queste autorità di certificazione sono state ben stabilite e non sono più messe in discussione dal pubblico in generale.
Se stai cercando di essere tra questi certificati radice, che sono preinstallati e pre-attendibili, la soluzione migliore è contattare i produttori del browser e, se possibile, avere le credenziali e il certificato CA root autorizzati da uno standard Internet centrale bordo.
Mr. Deters ha suggerito che ICANN era un buon punto di partenza con il suo commento un po 'sarcastico sul post originale. Questo potrebbe davvero essere un buon punto di partenza. Siate pronti a fornire documentazione sulle pratiche di firma ed essere aperti a ispezioni casuali, poiché sono entrambi richiesti da tutte le autorità di certificazione, anche da autorità di certificazione private come la nostra a PHC.