Perché è più sicuro utilizzare certificati CA intermedi?

Sì, il numero di certificati compromessi è molto più grande con il compromesso del certificato di root. Ma non sono solo i certificati numerici. Ottenere un nuovo certificato di base distribuito a causa della root compromessa è massiccio più difficile rispetto alla sostituzione dei certificati i cui intermediari sono compromessi.

Per i principianti, la sostituzione del certificato di origine di una CA pubblica, anche in uno scenario normale, comporta un sacco di scartoffie e audit. Nello scenario di una radice compromessa, la CA deve convincere i fornitori di software (browser e sistema operativo) a leggere il loro nuovo certificato di origine nell'archivio di fiducia predefinito. Nel crollo di una perdita, la CA ha praticamente perso tutta la fiducia che era stata costruita nel corso degli anni ei distributori sarebbero giustamente scettici sulla capacità della CA e sulla redditività delle attività della CA in futuro. Per lo meno, i fornitori richiederebbero il riapprovvigionamento e un sacco di scartoffie aggiuntive prima di autorizzare la nuova Autorità di certificazione dei root.

I fornitori quindi avrebbero bisogno di distribuire il nuovo certificato di fiducia. Questo è estremamente difficile da fare in breve tempo. Le persone non aggiornano il browser abbastanza spesso. Alcuni software come i browser hanno un meccanismo per diffondere rapidamente i certificati radice revocati e alcuni produttori di software hanno processi di rilascio rapido quando viene rilevata una vulnerabilità di sicurezza critica nel loro prodotto, tuttavia si potrebbe essere quasi sicuri che non considererebbero necessariamente l'aggiunta di una nuova radice a garantire un rapido aggiornamento. Né le persone si affretteranno ad aggiornare il loro software per ottenere il nuovo Root.

Questi sono oltre a dover dimettersi e riemettere i certificati.

Vi erano numerosi compromessi tra certificati intermedi (ad esempio Comodo) in cui la CA gestiva rapidamente la situazione e se ne andava senza conseguenze importanti. Il più vicino che abbiamo mai avuto per il compromesso dei certificati di root di una CA pubblica, è DigiNotar. DigiNotar è fallito nelle settimane successive alla pubblicazione del compromesso.

Is that correct? Is there another benefit?

Una CA root offline sacrifica la comodità per ottenere sicurezza.

But, anyway, CA must issue new Intermediate CA certificates and revoke the old ones... so the only benefit that I can find is that CA issue different Intermediate certificate for different purposes.

Sì, in caso di Intermediate compromesso, la CA principale deve essere utilizzata per revocare vecchi e rilasciare nuovi certificati ... tuttavia, come si nota, stiamo assumendo che

the Root CA is offline

quindi, a differenza di una CA intermedia, non è possibile connettersi semplicemente in rete, inviare il CSR e ottenere il certificato indietro. "Offline" in questo contesto di solito significa " air-gapped ." Qualcuno deve comprimere il CSR per il nuovo Intermedio su un disco USB, andare al server room, sedersi alla tastiera di fronte alla CA Root ed eseguire l'operazione localmente. Il nuovo certificato deve essere inserito nel disco USB e trasferito all'esterno, quindi connesso a un sistema in rete per consentirne il caricamento nella CA intermedia.

Farlo quando è necessario aggiornare i certificati intermedi non è difficile. Farlo in qualsiasi volume diventa poco pratico, motivo per cui le CA radice generalmente non firmano i singoli certificati.

Da quel momento in poi, la CA intermedia inizia la firma delle richieste di certificato, ma in modalità online - le connessioni di rete trasmettono i CSR e le connessioni di rete distribuiscono i certificati.

Quindi la differenza è che l'Intermediate CA è online per una rapida e comoda assistenza delle richieste. La CA principale non è in linea per una manutenzione lenta, impacciata ma più sicura delle richieste. L'uso di più CA intermedie consente al "rischio" di avere l'autorità online e accessibile per essere suddivisa in diversi insiemi di certificati; le uova sono distribuite in diversi cesti.

So the "universe" of compromised certificates is smaller that if Root CA would have signed all of the certificates.

Certo, potresti metterlo in questo modo. Ma fino a quando la CA intermedia ha il suo certificato revocato ( e anche dopo, potrebbe ancora essere problematico ), potrebbe continuare a creare certificati errati di cui gli utenti si fideranno. Poiché la revoca non è eccezionale, probabilmente indebolisce alcune delle tue ipotesi sulla sicurezza dei certificati ( questa domanda correlata riguarda specificamente la revoca della CA offline )

Considera anche questo: con una sola CA radice, c'è solo una chiave privata che deve essere protetta bene. Con molte CA intermedie, ci sono molte, molte più chiavi che devono essere protette. Quindi, è davvero sicuro quanto il link più debole.

Questo rende difficile dire che avere CA intermedie è più sicuro.