Por que as autoridades de certificação intermediárias são necessárias? Quando um certificado intermediário seria usado?
Às vezes, para proteger a chave privada da CA raiz, ela é armazenada em um local muito seguro e usada apenas para assinar alguns certificados intermediários, que são usados para emitir certificados de entidade final. Em caso de comprometimento, os intermediários podem ser revogados rapidamente, sem a necessidade de reconfigurar cada máquina para confiar em uma nova CA.
Outro motivo possível é a delegação: por exemplo, empresas como o Google, que geralmente usam muitos certificados para suas próprias redes, terão uma CA intermediária própria.
Como verifico a cadeia do certificado intermediário para o certificado raiz?
Normalmente, a entidade final (por exemplo, um servidor da Web SSL / TLS) fornece toda a cadeia de certificados, e tudo o que você precisa fazer é verificar as assinaturas.
O último dessa cadeia é o certificado raiz, que você já marcou como confiável.
Por exemplo, quando você tem uma cadeia [usuário] → [intermediário-1] → [intermediário-2] → [raiz] , a verificação é assim:
O [usuário] tem [intermed-1] como "Emissor"?
O [usuário] possui uma assinatura válida pela chave [intermed-1] ?
Does [intermed-1] tem [intermed-2] como seu "Emissora"?
O [intermed-1] possui uma assinatura válida pela chave do [intermed-2] ?
Does [intermed-2] tem [root] como seu "Emissora"?
O [intermed-2] possui uma assinatura válida pela chave do [root] ?
Como o [root] está na parte inferior da cadeia e se apresenta como "Emissor", ele é marcado como confiável?
O processo é exatamente o mesmo o tempo todo; a existência e a contagem de CAs intermediárias não importa. O certificado do usuário pode ser assinado diretamente pela raiz e será verificado da mesma maneira.
Quais são os exemplos de certificados intermediários vinculados a certificados raiz?
Consulte as informações do certificado em https://twitter.com/ ou https://www.facebook.com/ para cadeias contendo três ou quatro certificados. Consulte também https://www.google.com/ para obter um exemplo da própria autoridade de certificação do Google.