Cosa intendono le persone per "modo top-down" nei certificati X.509?

2

Che cosa intendono le persone dicendo che i certificati X.509 funzionano in "modo top-down"? Dicono che le CA possono fare certificazioni incrociate?

    
posta evening 09.01.2014 - 21:27
fonte

1 risposta

2

"Top-down" significa che la convalida del certificato procede da alla CA principale fino a il certificato dell'entità finale (cioè il certificato che si desidera convalidare). Questo si riferisce all'idea che una PKI X.509 sia gerarchica : nella parte "superiore" c'è una o poche CA radice, che sono a priori di fiducia e quindi affidarsi alla CA intermediaria i cui certificati sono stati emessi (firmati) da una CA radice, quindi ad altre CA intermedie emesse dalla precedente CA intermedia e così via, fino a quando il trust non raggiunge il certificato per un utente di posta elettronica o SSL server.

Le nozioni di "up" e "down" sono completamente arbitrarie, ovviamente, ma è tradizione considerare che la fonte di autorità e fiducia sia "al top".

È interessante notare che la radice di un albero biologico è in fondo; tuttavia, in informatica, gli alberi sono solitamente rappresentati con la radice in alto, come in questa immagine (tratto da Wikipedia ):

Alcontrario,lastrutturaPKIpercuièstatoprogettatoOpenPGP,ovverola Web of trust , non è "top- down "perché è altamente decentralizzato, quindi non esiste un'entità" top ".

Le certificazioni incrociate sono in realtà caratteristiche non ad albero; maggiore è il numero delle certificazioni incrociate, minore è la parte inferiore verso il basso del PKI. Si potrebbe dire che il Web of trust è un PKI gerarchico con così tante certificazioni incrociate che la struttura gerarchica iniziale è diventata ridondante e rimossa dal corpo.

    
risposta data 10.01.2014 - 18:40
fonte