Mentre la maggior parte della documentazione che ho letto afferma che non c'è alcun requisito per avere l'estensione AIA in un certificato Root autofirmato (abbastanza logico), non riesco a trovare nulla che mi dice di non farlo nei certificati emessi dalla radice. In effetti, la maggior parte degli esempi che ho trovato ha la CA radice che rilascia certificati con un'estensione AIA che punta alla CA principale.
RFC 5280 offre due possibili opzioni per AIA:
- l'URL del certificato della CA emittente
- l'URL del risponditore OCSP.
Per ora, sto ignorando OCSP e supponendo che abbiamo almeno una CA subordinata.
Quale sarebbe il punto di avere una voce id-ad-caIssuers
nell'estensione AIA all'interno di un certificato emesso dalla CA principale? Se un subordinato ha bisogno di controllarlo per trovare il percorso della CA principale, allora implica che il subordinato non è a conoscenza del certificato della CA principale e quindi non lo ha nella propria collezione di Ancoraggi Trust. Un URL per la CA principale non cambierà le cose: non lo crederà ancora!
Ho corretto o ho perso qualche punto? In quest'ultimo caso, esiste una situazione in cui questa estensione AIA sarebbe necessaria in un certificato emesso dalla CA principale?