Esiste un uso in un'estensione AIA in un certificato emesso direttamente da una CA radice?

Beh, in teoria, non avresti mai avuto bisogno dell'AIA.

Mandati RFC 5280, che invii lungo ogni certificato necessario. E facoltativamente, puoi inviare anche il certificato CA radice.

E questo è l'unico certificato opzionale.

Ora non tutti configurano correttamente i loro server. Ed è qui che entra in gioco AIA.

Se viene inviato solo il certificato dell'entità finale, il software client avrà più lavoro da fare. E alcuni software client possono fare una cosa chiamata AIA chasing.

Guarderà all'interno dei certificati che ha e utilizzerà AIA per scaricare certificati aggiuntivi. E se questo non porta a un percorso utilizzabile entro 10 tentativi o qualcosa del genere, allora il path building fallisce.

E costruire un percorso significa: trovare i certificati che portano a una CA radice affidabile.

Se conduce a una CA radice non attendibile, allora non puoi fidarti del certificato foglia. Ad ogni modo, arriverete ad una decisione su quel certificato foglia. E questo è quello che vuoi.

Correlati: InfoSec-SE: Steps per scoprire se un certificato SSL è affidabile

Modifica 2015-04-28: AIA presenta una radice. Tu decidi sulla fiducia.
L'AIA che insegue può aiutarti a trovare una (o più) CA radice. Che cosa fa non fare è un aiuto per decidere se questa CA merita la tua fiducia.

Ma otterrà una CA radice.

E anche se ottieni una CA radice di cui non ti fidi, è comunque utile, perché allora conosci che la risposta è "Non mi fido di questo". E poi non devi continuare a cercare una risposta.

Ulteriori letture

• RFC 4158 - Infrastruttura a chiave pubblica Internet X.509: percorso del percorso di certificazione .
• White paper che discute la proroga, poi nuova, dell'AIA nel 2002: Steve Lloyd, Oasis PKI Forum, Comprendere la costruzione del percorso di certificazione ,

Come fai notare, un AIA è utile per OCSP.

Per la convalida dei certificati grezzi , l'aggiunta di un URL che punta al certificato autofirmato di root è davvero inutile. Un certificato autofirmato di root è utilizzabile solo se già lo si possiede, poiché la sua integrità e autenticità non possono essere desunte dalla sua firma. Se hai già il certificato, non è necessario scaricarlo.

Tuttavia , ci sono alcuni casi in cui l'URL è utile, ad es. come documentazione In sostanza, se un utente di Windows fa doppio clic sul certificato dell'entità finale ma non installa la root autofirmata, Windows lo scaricherà automaticamente e lo visualizzerà con una "X" rossa, che mostra almeno il problema esatto. Se non vi è alcun URL AIA che lo indichi, Windows si fermerà nella CA intermedia.

Allo stesso modo, l'URL può aiutare un client SSL a costruire un percorso completo. Quando un server SSL richiede un certificato dal client, invia l'elenco dei nomi delle CA principali che utilizzerà per convalidare il certificato client. Il cliente non ha bisogno di fidarsi del proprio certificato (ricorda che il tuo certificato è per le altre persone, non per te) ma l'URL può aiutare il cliente a capire che il suo certificato risiede in realtà in una delle CA radice di cui il server si fida.

L'URL può supportare le evoluzioni future. In questo momento, hai la tua radice, ma forse in futuro potresti fare un accordo con una CA radice più grande esistente che accetterà di emettere un certificato CA intermedio per la tua radice. A quel punto, i certificati emessi dalla tua radice dovrebbero avere un URL che punta a quel nuovo certificato "CA intermedio", per aiutare nella costruzione del percorso (i clienti che si fidano della tua radice non ne avranno bisogno, ma aiuterà i clienti che si fidano solo del altra, radice più grande). Spingendo un URL significativo ora assicurati di mantenere quella carta nel tuo gioco.