这是一个新手问题,但在阅读了关于 CA 如何工作的各种不同文章后,我感到很困惑。
大多数证书是否都是由“中间 CA”颁发的,并且证书链最终会回到根 CA?
举例来说,如果我向 VeriSign 申请证书,他们是否会将该任务委托给中级 CA 来“分发”证书的颁发?
然后,我的证书将通过中级证书进行验证,而中级证书又将由根 CA 进行验证,从而完成身份验证链?
如果是这样,那么根 CA 是否会出现直接向请求证书的公司/组织颁发证书的情况?
答案1
是的,这是公共 CA 最常见的模型,主要是因为“根 CA”通常处于离线状态。如果计算机处于离线状态,则无法窃取密钥或破坏计算机。(至少不能通过网络)
此外,如果中间(颁发)CA 受到损害,则 CA可以只需撤销该子 CA,而不必处理将新的根 CA 支持到所有浏览器等。
很有可能您会收到直接从根 CA 签名的证书,但据我所知,这在“受信任的公共根 CA”中并不常见。