Ho un archivio di fiducia contenente la catena di certificati SSL fino al certificato della CA principale:
CA root - > CA intermedio - Certificato SSL
In base a ciò che ho visto come best practice, solo il certificato CA root deve essere aggiunto nell'archivio trust perché il server SSL deve inviare il certificato SSL insieme al suo certificato CA intermedio e pertanto è possibile verificare l'intera catena.
Ma per quanto riguarda la situazione in cui mi piacerebbe fidarmi solo di una particolare CA Intermedia che ha rilasciato il certificato SSL e non altro?
Il gestore della CA principale può emettere un altro CA2 intermedio che sarebbe poi considerato attendibile anche dalla mia applicazione. Come evitare tale situazione?
L'inclusione del certificato CA intermedio nell'archivio di fiducia non risolve il problema, poiché il certificato CA2 intermedio sarebbe ancora considerato attendibile.