Il controllo della catena di certificati richiede la connessione a server esterni?
Non necessariamente, se la catena è completa da una CA affidabile al certificato foglia (il certificato del sito), non sono necessarie richieste. Ogni cert è attendibile o firmato da un cert più in alto nella catena. Ad esempio.com questo dovrebbe apparire come questo:
- CA root (affidabile come è installato nel browser)
- Intermedio A (attendibile poiché è firmato da Root CA)
- Intermedio B (fidato com'è firmato dall'intermedio A)
- Cert del sito (attendibile poiché è firmato dall'intermediario B)
Il controllo della revoca richiede la connessione a fonti esterne?
Utilizzando un CRL, o il normale OCSP richiede una richiesta esterna per verificare se il certificato è stato invalidato da quando è stato emesso, questo può essere un problema di privacy in quanto consente a una terza parte (quella che esegue il responder OCSP) di tracciare gli utenti .
Per aggirare questo problema, è possibile utilizzare la punteggiatura OCSP, in cui il server richiede la risposta OCSP e la restituisce mentre è valida per i client, prima di dover ottenere una nuova risposta, evitando che le risposte stantie vengano utilizzate per sempre.
Cosa succede quando la catena è incompleta?
Se la catena è incompleta allora un AIA Extention
può essere usato per indicare l'emittente di un certificato, permettendo al cliente di riparare il gap nella catena, ma il supporto client per questo non è garantito, quindi è meglio presentare una catena completa quando possibile.