Che cosa intendono le persone dicendo che i certificati X.509 funzionano in "modo top-down"? Dicono che le CA possono fare certificazioni incrociate?
"Top-down" significa che la convalida del certificato procede da alla CA principale fino a il certificato dell'entità finale (cioè il certificato che si desidera convalidare). Questo si riferisce all'idea che una PKI X.509 sia gerarchica : nella parte "superiore" c'è una o poche CA radice, che sono a priori di fiducia e quindi affidarsi alla CA intermediaria i cui certificati sono stati emessi (firmati) da una CA radice, quindi ad altre CA intermedie emesse dalla precedente CA intermedia e così via, fino a quando il trust non raggiunge il certificato per un utente di posta elettronica o SSL server.
Le nozioni di "up" e "down" sono completamente arbitrarie, ovviamente, ma è tradizione considerare che la fonte di autorità e fiducia sia "al top".
È interessante notare che la radice di un albero biologico è in fondo; tuttavia, in informatica, gli alberi sono solitamente rappresentati con la radice in alto, come in questa immagine (tratto da Wikipedia ):
Alcontrario,lastrutturaPKIpercuièstatoprogettatoOpenPGP,ovverola
Le certificazioni incrociate sono in realtà caratteristiche non ad albero; maggiore è il numero delle certificazioni incrociate, minore è la parte inferiore verso il basso del PKI. Si potrebbe dire che il Web of trust è un PKI gerarchico con così tante certificazioni incrociate che la struttura gerarchica iniziale è diventata ridondante e rimossa dal corpo.
Leggi altre domande sui tag public-key-infrastructure certificates certificate-authority x.509