Disclaimer: I have low knowledge of X.509 and PKI, so I would appreciate an answer that is not entirely technical, i.e. by using real-life example scenarios.)
Stavo cercando informazioni sui certificati TLS 4096-bit, trovato un articolo che ne parlava e su come poter generare un certificato autofirmato.
Signing your own key.
openssl x509 -req -days 730 -in my.csr -signkey my.key -out my.crt
Signing your key will save you the few bucks a year a CA will charge you, but it will not be recognized by others unless they import your certificate.
La parte non riconosciuta da altri mi ha lasciato meravigliato. Per me, X.509 / PKI funziona un po 'come OpenPGP: ha crittografia asimmetrica, la fiducia è costruita con certificazioni, ecc.
Prendiamo una CA ampiamente affidabile, ad esempio VeriSign. Se firmare un certificato asserisce fiducia (= il certificato VeriSign radice firma il cert VeriSign intermedio, anche quest'ultimo diventa attendibile), allora ho la seguente domanda:
È possibile che una CA (come VeriSign) faccia affidamento su un'altra CA (in modo che, ad esempio, un CAcert - il certificato omesso diventerebbe valido e riconosciuto nei browser, solo da VeriSign che firma il certificato root / intermedio di CAcert)?
Potrebbe funzionare anche con certificati autofirmati? O capisco erroneamente che X.509 e CA non possano interagire tra loro?