Durante la ricerca di informazioni su questo, ho trovato Come faccio a prepararmi per la fine dell'attività della Certificate Authority? , ma non riesco a capirlo.
Diciamo:
-
si gestisce un file server X ,
-
X salva i file, le firme e le informazioni del certificato pubblico da S che è stato utilizzato per firmare i file inviati da S a X ,
-
party Y scarica il file e la firma da X e desidera verificare che si tratti di un file firmato S .
Credo che la verifica funzioni anche se il certificato pubblico memorizzato e in seguito servito con il file e la firma di X funziona, ma cosa succede se la CA ha cessato l'attività o S è cambiato in un altro provider. La catena dei vecchi certificati pubblici salvati lungo i dati è più affidabile? Se è così, come mai, se la catena di CA è rotto?
Sebbene la responsabilità legale sia in gran parte una questione non tecnica, se la catena è rotta (vedi passaggio precedente), le CA non potrebbero consentire a S di eludere potenziali problemi derivanti dalla firma dei documenti? Cioè potrebbe tecnicamente ripudiare le firme.
< edit: Sospetto che ciò possa riguardare alcuni dei campi che indicano l'entità legale che ha richiesto il certificato, il nome dell'azienda o il somesuch. Anche letture interessanti sono verifica della catena di certificati SSL , Manualmente attraverso la convalida della firma di un certificato e PKI - Convalida della catena di certificati , che mi porta a credere che tutti i certificati che escludono la CA radice devono essere presenti. Almeno su Windows, la CA radice deve essere installata da Microsoft, quindi mi chiedo se la CA radice venga rimossa, e allora?