这是一个新手问题,但是在阅读关于CA如何工作的各种不同的文章之后,我的脑袋就被炸了。
大多数证书是由一个“中间CA”发行的,而这个链最终会导致根CA?
例如,如果我要求VeriSign颁发的证书,他们是否将任务委托给中级CA来“分配”颁发证书?
我的证书将通过中间证书进行validation,中间证书又将由根CA进行validation,完成validation链?
如果是这样的话,是否曾经有过一种情况,即根CA会直接向已经申请证书的公司/组织颁发证书?
是的,这是公共CA的最常见模式,主要是因为“root ca”通常是离线的。 如果机器处于脱机状态,则无法窃取密钥或损害机器。 (至less不在networking上)
而且,如果中间(发行)的CA得到了破坏,CA 可以撤销该子版本,而不必处理在所有浏览器和内容中获得新的根CA.
很有可能会收到直接从根CA签名的证书,但在“受信任的公共根CA”之外的AFAIK并不常见。