Penso a questo problema ed è difficile stimare gli impatti tecnici.
Per qualsiasi motivo rilevante, si desidera modificare uno dei campi x509 di una CA intermedia. Questa CA intermedia è stata firmata dalla CA principale e ha già rilasciato alcuni certificati finali.
Voglio che Root CA firmi di nuovo questo certificato intermedio perché un campo come modificato (anche un campo inutile), quindi il certificato ha prodotto un nuovo hash, quindi una nuova firma viene creata dalla radice. Supponi di sostituire quello vecchio con il nuovo certificato (la sua nuova firma), cosa sta succedendo:
- Il certificato intermedio è ancora affidabile? Immagino sia come la firma sia valida (anche se "fresca") e possiamo verificarla con il certificato di root.
Inoltre, poiché la chiave pubblica intermedia non è mai stata modificata, i certificati finali sono ancora validi e possiamo verificarlo (con chiave pubblica intermedia).
Quindi, ovviamente, il contenuto del certificato intermedio è cambiato, ma possiamo ancora usarlo poiché è firmato da Root e la sua chiave pubblica è sempre la stessa.
Suppongo che ci siano degli impatti che non ho visto.