La especificación X.509 hace declaraciones frecuentes como esta:
(b) If certificate i is self-issued and it is not the final
certificate in the path, skip this step for certificate i.
¿Cómo puede tener un certificado que es autoemitido y no puede ser el certificado final en el camino? ¿El emisor y el sujeto son iguales? ¿Cómo se supone que debe encontrar el certificado de los padres?
Autofirmado y autoemitido son dos cosas diferentes. Por lo tanto, el certificado autoemitido tiene el mismo asunto que el emisor, pero no está firmado por la misma clave. Esto significa que hay otro certificado que vincula la clave pública utilizada para firmar el certificado autoemitido.
Esto se puede usar para la transferencia de claves, por ejemplo, una organización comienza a usar una nueva clave, crea un nuevo certificado autofirmado y crea un certificado autoemitido para la clave antigua.
Auto emitido significa que la entidad que emitió (firmó) el certificado es la misma que la entidad que recibió el certificado y es propietaria de la clave pública contenida en el mismo. En el contexto de RFC 5280, un certificado autoemitido se define como:
A certificate is self-issued if the same DN appears in the subject and issuer fields (the two DNs are the same if they match according to the rules specified in Section 7.1)
Tenga en cuenta que las reglas de coincidencia de nombres requieren una normalización bastante compleja de espacios en blanco y mayúsculas.
Autofirmado significa que un certificado ha sido firmado por la clave privada que corresponde a la clave pública en el certificado.
Los certificados autoemitidos pueden ser autofirmados. O no. Tiene sentido tener un certificado que sea autoemitido y autofirmado en caso de que la autoemisión esté destinada a cambiar otras características del certificado, como las extensiones, las fechas de validez o incluso los detalles de codificación de nombres.
En cualquier caso, no encontrará certificados padres basados solo en la clave; la creación de rutas de certificados tiende a usar los nombres y los "identificadores clave" ( Authority Key Identifier , < a href="http://tools.ietf.org/html/rfc5280#section-4.2.1.2"> Subject Key Identifier ), y la URL de descarga para la CA emisora en Authority Information Access extension. Hay muchas más maneras que eso; Consulte RFC 4158 para una discusión más completa. La conclusión es que los certificados auto emitidos, ya sean autofirmados o no, pueden ocurrir en medio de cadenas de certificados.
Lea otras preguntas en las etiquetas cryptography tls certificates x.509