In realtà, le tue aziende più grandi come Google o Facebook hanno, infatti, un certificato a . Si tratta di un certificato a livello di CA (in grado di firmare altri certificati e quindi di garantire l'identità di tali titolari) emesso da una CA esterna o la cui controparte pubblica è registrata come implicitamente attendibile dai sistemi operativi, dai browser Web, ecc. è la chiave d'oro.
Da questo certificato, la società genererà ulteriori certificati "intermedi". Si tratta anche di certificati a livello di CA, che vengono poi utilizzati per generare certificati di livello finale che identificano singoli server, endpoint e persino workstation interne all'interno dell'infrastruttura a chiave privata dell'azienda. Tale infrastruttura consente al sysadmin di ridurre drasticamente la quantità della sua rete che deve essere "attendibile" (in realtà tali comunicazioni interne sono solo "attendibili" perché è considerato non fattibile per proteggerle).
Se un certificato intermedio viene rubato, è di disturbo ma di solito non è la fine del mondo. Un utente malintenzionato può fare molto con qualsiasi certificato CA che abbia una "catena di fiducia" ininterrotta fino a una radice attendibile a livello globale. Tuttavia, non appena vengono resi noti i report di un certificato per Google, firmato da una delle CA intermedie di una società non collegata, la jig è attiva; la società emetterà una "revoca" del certificato firmato e, se si ritiene che la CA sia stata completamente compromessa, revocherà la CA intermedia stessa. Una revoca è una sorta di anti-certificato; è firmato allo stesso modo di un normale certificato, ma dice a qualsiasi computer su cui è distribuito non per fidarsi dei certificati con una determinata firma, o che sono stati firmati con un particolare certificato CA. Ora, questo revocherà la fiducia anche in tutti i certificati legittimi, che come ho detto sono dirompenti, ma la società può recuperare, tipicamente rilasciando nuovi certificati a tutti i legittimi proprietari di certificati conosciuti.
Questo accade di tanto in tanto. In particolare, è successo a Comodo, una società la cui attività principale è l'emissione di certificati ad altre società. Uno dei certificati CA è stato compromesso e utilizzato per generare certificati falsi per Google e altri siti importanti per scopi di phishing e altri scopi nefandi. Non appena fu chiaro che solo una CA era interessata, Comodo revocò la CA, trasferendo i legittimi titolari di certificati a nuovi certificati firmati da altre chiavi CA non compromesse, quindi generò una nuova CA intermedia dalla sua Chiave d'oro per sostituire quella revocata, ed è tornato agli affari come al solito.
Se il certificato di root, la chiave d'oro, di una società viene rubato, è la fine del mondo, per la società che lo detiene almeno. I certificati CA root sono tra le cose più preziose nel mondo degli hacker. Di conseguenza, di solito c'è un livello estremo di sicurezza inerente alla memorizzazione di qualsiasi dispositivo che contiene la chiave d'oro (in genere un modulo di sicurezza hardware). Puoi guardare questo video , mostrando solo alcuni dei rigamarole dietro la generazione e l'archiviazione del certificato CA root per le estensioni DnsSec per DNS, che aggiungono prove di origine e negazione delle funzionalità di esistenza al framework DNS standard. Se si ritiene che un certificato d'oro sia compromesso, tutto ciò che si trova sotto la gerarchia è sospetto; non c'è modo di provare o confutare la legittimità di alcun certificato firmato da questo. Pertanto, l'unica cosa che puoi fare è revocare completamente la fiducia in quel certificato radice e affrontare il fallout.
Questo è molto più raro, ma è successo. DigiNotar, una società di CA root olandese simile a Comodo, è stata vittima di attacchi multipli che hanno compromesso il certificato di fiducia della compagnia; la chiave privata è stata quindi utilizzata per generare certificati falsi per numerosi siti Web importanti. DigiNotar non ha potuto identificare in modo affidabile tutti i falsi, non poteva quindi garantire che fossero stati tutti revocati e non poteva neppure garantire che la sua chiave privata di root non fosse stata copiata fuori dal sito. Di conseguenza, i principali produttori di sistemi operativi e browser hanno risposto semplicemente revocando del tutto la fiducia nel certificato radice di DigiNotar. Seguì Hilarity, in quanto DigiNotar rappresentava la CA principale per diversi siti Web del governo olandese, inclusa la controparte degli Stati Uniti. Immagina di andare su www.irs.gov e sapere dal tuo browser che il sito potrebbe essere fraudolento; questo è esattamente quello che è successo ai visitatori del sito web olandese di amministrazione fiscale e doganale. Il governo olandese ha assunto rapidamente il controllo delle CA intermedie di DigiNotar e ha trasferito tutti i loro siti ad altre autorità di certificazione. DigiNotar aveva presentato istanza di fallimento entro la fine dello stesso mese.