Da quanto ho capito, le autorità di certificazione (CA) devono ottenere il loro certificato di root incluso nel browser.
Cosa succede se il certificato radice di una particolare CA non è ancora incluso nel browser web. C'è un altro modo per farlo entrare? Forse la mia domanda non è abbastanza chiara. La domanda deve essere: in un modello gerarchico PKI, se i subCA non hanno certificato di root incluso nel browser Web, in che modo i subCA possono entrare?
Dipende dal browser e dal sistema operativo host, ma in genere è possibile dire al sistema operativo o al browser di fidarsi di una nuova CA.
Ad esempio, se si utilizza Internet Explorer o Chrome su Windows, è possibile importare un certificato nell'archivio certificati "CA radice attendibile" di Windows e sarà considerato attendibile a meno che un altro certificato sia security.stackexchange.com/questions/29988/what-is-certificate-pinning">pinned. Firefox è più complicato.
Come altro esempio, puoi installare un nuovo certificato su Android . Questo dovrebbe funzionare per la maggior parte o tutti i browser, ma potrebbero chiederti di fare un'eccezione prima di fidarti del tuo nuovo certificato.
Altri sistemi operativi e browser hanno meccanismi diversi per l'installazione dei certificati.
Leggi altre domande sui tag authentication web-browser certificate-authority