Diciamo che voglio convalidare un'entità che presenti un certificato X509v3, "Leaf". Leaf è un cert firmato da SigningCA. Il certificato di firmaCCA, "SigningCert", è stato firmato da RootCA. Il certificato di RootCA, "RootCert" si trova nel trust store del mio sistema.
-
Prendo Leaf e vedo che è firmato da SigningCA. Nello specifico, il collegamento è che nella sezione "Accesso alle informazioni sull'autorità" di Leaf, "CA Issuers" contiene un URL che posso seguire per eliminare il certificato di SigningCA, SigningCert. Quindi vado a tirare giù e faccio la convalida. Tutto è buono.
-
Ma ora voglio verificare che SigningCA sia legittimo. Ha il proprio campo Issue di CA che mi indica il certificato di RootCA, RootCert.
Ora la mia domanda: per convalidare, ho bisogno di estrarre questo URL, o è sufficiente che RootCert sia nel mio negozio di fiducia e ha alcune proprietà che consentono un confronto rapido con quello che ho già ?
Sembra (da qualche sperimentazione con i browser) che non sia richiesto il rootCert, il che mi fa pensare che stiano confrontando alcuni campi in SigningCert con qualcosa di presente in tutti i certificati nel trust store e riportando il successo se una corrispondenza è trovato. Se è così, qual è quella cosa?