CA commerciale per i certificati del cliente?

Perché è necessario che il certificato cliente sia firmato da una CA commerciale?

Questo è necessario per il lato server dal momento che la CA commerciale funge da terza parte attendibile per la maggior parte delle applicazioni client poiché non ha modo di verificare altrimenti l'autenticità del certificato pubblico.

Molto spesso quando si utilizza l'autenticazione lato client l'autorità è l'organismo proprietario del server a cui si desidera autenticare, e questo è questo organismo che fornirà o firmerà i certificati client richiesti. In altre parole, se si desidera connettersi a un server di proprietà della società 'A', è necessario un certificato firmato dalla società 'A' per procedere.

Tuttavia, per alcuni casi d'uso molto specifici (ad esempio alcuni protocolli di trasferimento finanziario) i clienti possono salire a bordo utilizzando certificati firmati da una terza parte fidata, ma in questo caso l'azienda a cui ci si vuole connettere fornirà l'elenco di terze parti fidate tra cui puoi scegliere (Swift è il più comune in questo settore, ma ce ne sono alcune altre).

Ci sono un gran numero di CA commerciali da cui puoi comprare. Symantec è il più grande ma una ricerca su google di "Acquista certificato SSL" ti darà qualche migliaio di altre opzioni.

I certificati SSL più comunemente disponibili hanno un campo specifico che dice che non può essere usato come certificato CA root / intermedio, quindi per emettere nuovi certificati.

Da openssl x509 -in cert.pem -noout -text :

X509v3 Basic Constraints: critical
    CA:FALSE

Credo che non sia possibile acquistare facilmente un certificato CA di fiducia pubblica, altrimenti si romperebbe l'intero modello di catena di fiducia.

Continua a rispondere a GZBK, per capire perché non ne hai bisogno per firmare certificati client, puoi farlo con un certificato CA autofirmato.