Il CP / CPS di SwissSign Gold Certificate afferma che:
5.1 "...Two identical clones of the SwissSign Gold CA keys are stored off line in Swiss bank safe deposit boxes."
Hanno persino inserito la pagina Why SwissSign come primo "punto vendita":
The «master key» for our certificates is stored safely at two Swiss banks
Questo è comune tra le CA? Non è una preoccupazione che la chiave privata sia stampata da qualche parte? Non dovrebbero essere all'interno di un HSM senza un modo per estrarlo?
Con le chiavi per un'autorità di certificazione, deve esserci un equilibrio tra riservatezza (devono garantire che le chiavi non siano divulgate senza autorizzazione) e disponibilità (non è necessario perdere la chiave completamente altrimenti non possono usalo per firmare i certificati).
Se memorizzavano la propria chiave in un HSM senza il modo di estrarla, c'è il rischio reale che l'HSM rilasciasse la chiave, ea quel punto sarebbero un po 'in difficoltà in termini di rilascio di più certificati.
Da ciò che ho visto della gestione della CA che divide la chiave e la memorizza in luoghi fisicamente sicuri, è pratica molto comune.
Leggi altre domande sui tag certificate-authority