Suppongo che questo sia correlato a Cos'è un'autorità di certificazione intermedia? ma penso che la mia domanda sia un po 'diversa quindi lo chiederò comunque.
Perché la maggior parte delle moderne autorità di certificazione (ad esempio VeriSign) richiede due prodotti intermedi? E se più di uno è necessario per motivi di sicurezza, perché "solo" due? Perché non tre? O quattro?
Penso che sia più un problema di sicurezza, come evidenziato in 1 .
CA come VeriSign utilizza il concetto di gerarchia a due livelli (o catena di fiducia) per fornire maggiore sicurezza. Questo perché i ruoli delle CA primarie e secondarie sono separati e possono essere ospitati in server diversi, magari in diverse posizioni geografiche.
Quindi, molto probabilmente vengono prese più precauzioni per salvaguardare le chiavi private della CA primaria rispetto alle altre CA intermedie (che hanno un minore potere di "emissione di certificati"). Quindi, il compromesso di una CA intermedia non conduce direttamente al compromesso della CA primaria o di altre CA.
Ho trovato una buona spiegazione qui: link
Per riassumere: In caso di design a 1 livello (RootCA emette certificati endpoint) - non è consigliato a causa di ovvi motivi.
In caso di progettazione a 3 strati ampia e costosa, si ottiene un'eccezionale scalabilità, è possibile applicare diverse norme CA su ciascuna CA intermedio off-line, è possibile revocare parte della "struttura" PKI e continuare a funzionare correttamente il riposo. Viene utilizzato dai marchi CA conosciuti in tutto il mondo, come GoDaddy, Symantec, Thawte, ...
In caso di 2 livelli, è un compromesso tra entrambi. Di solito viene utilizzato per esigenze aziendali interne, per la società PKI. RootCa è preinstallato solo sui PC aziendali. È relativamente economico, ben gestibile da 2-3 persone e ancora scalabile. Puoi avere il livello IntermediateCA di CA online, che utilizzi per emettere certificati di dominio interni, certificati VPN, certificati di accesso di 3 parti, ... - ogni CA con criteri diversi.
Leggi altre domande sui tag tls certificates certificate-authority