È possibile (e pratico) per due utenti creare i propri certificati SSL autofirmati, scambiare questi certificati (magari in una riunione faccia a faccia) e quindi comunicare tra loro in modo sicuro (ad es. S / MIME) ? Nessuna CA coinvolta qui.
Sì, è possibile e persino comune per due parti scambiare certificati di chiavi pubbliche di molti tipi, senza il coinvolgimento di una terza parte, per codificare reciprocamente le loro comunicazioni. Questo scambio privato è la base del modello di autenticazione decentralizzata Web of trust (WOT). Il sistema WOT più conosciuto è Pretty Good Privacy (PGP) e le sue varianti. Se ciascuna parte si fida dell'altra sufficientemente per mantenere il livello di sicurezza (autorizzazione ad accedere alle risorse), il modello WOT è appropriato. Vedi anche certificati autofirmati .
Public Key Infrastructure (PKI) è il modello di autenticazione centralizzato utilizzato nelle comunicazioni commerciali e governative, che coinvolge un Autorità di certificazione (CA) il cui scopo è garantire l'identità del portatore del certificato eseguendo un determinato livello di due diligence sull'entità richiedente . La richiesta viene generalmente fornita come Richiesta di firma del certificato (CSR)).
Si noti che esistono diversi livelli di autorità di certificazione; potrebbe esistere un numero di CA intermedie tra l'autorizzazione "root" e il certificato finale. Alcune organizzazioni, in particolare nel governo e nel mondo accademico, mantengono la propria radice PKI (una CA interna) che rilascia certificati solo all'interno dell'organizzazione. Ciò che separa una CA radice "attendibile" da una non attendibile è principalmente la base installata del certificato radice. I sistemi operativi, i browser e le altre applicazioni sono associati a una selezione di certificati radice per CA che sono considerati attendibili dal fornitore o dal consenso generale del settore. I certificati rilasciati da queste CA vengono automaticamente considerati attendibili dal software che li contiene e questi certificati vengono spesso installati nel keystore dell'utente locale, consentendo a tutte le applicazioni in cui l'utente esegue di affidarsi a loro.
I due modelli sono progettati per diversi livelli di fiducia. Tra amici o un'organizzazione privata, WOT è sufficiente. Quando si ha a che fare con un gran numero di persone, molte delle quali sono estranee o possibili minacce, la PKI è preferita.
Leggi altre domande sui tag tls certificates certificate-authority