根据我阅读文献的方式,带有脱机根CA的双层PKI提供冗余和额外的安全层,以防下属CA的私钥遭到破坏。 但是这是如何工作的?
假设我有一个脱机根CA,并使用它来签署从属CA,然后使用从属CA签署一个内部Web服务器。 现在让我们说从属CA的密钥被攻破。 根据文献没有问题。 你只需要焚烧你的下属,build立一个新的。 然后,你启动根CA,并签署新的下属,你又回来了。
问题在于Web服务器使用现在无效的从属CA证书进行签名,信任链被破坏。 那么我是否还需要用新的下属的密钥重新签署Web服务器? 如果我必须与新的下属重新签署所有协议,那么将脱机根CA放在第一位的目的是什么?
显然我不是在这里理解的东西。
客户端信任根CA,而不是从属CA. 如果从属CA受到危害,则只需切换它。 您不必在所有客户端上replace根CA,因为它仍然是安全的。
根CA是您的客户信任的,并告诉您的客户信任下级CA. validation证书时,您的客户会查看吊销列表。 如果您的CA遭到入侵,您的客户将继续信任该CA颁发的任何证书,包括恶意的证书。 如果它是从属的,那么你可以通过你的根CA进行撤销,以便客户不再信任这些证书。 如果根CA受到损害,则必须find另一种方法告诉客户不要信任证书。