¿Por qué Apple incluye 5 certificados raíz de COMODO en OS X? Hay "AddTrust {Clase 1, Externa, Pública, Calificada} Raíz de CA" y también "COMODO Raíz Certificado".
¿Por qué no es suficiente una, si es propiedad de una empresa?
¿Por qué Apple incluye 5 certificados raíz de COMODO en OS X? Hay "AddTrust {Clase 1, Externa, Pública, Calificada} Raíz de CA" y también "COMODO Raíz Certificado".
¿Por qué no es suficiente una, si es propiedad de una empresa?
En mi navegador (Chrome en Windows) tengo certificados para ambas CAs. No estoy completamente seguro de a qué se dirige su pregunta (¿Por qué una CA tendría más de un certificado? ¿Por qué una CA emitiría un certificado no raíz? ¿Por qué OS X no se envía con el certificado raíz?). Si pudieras actualizar tu pregunta con más detalle, sería genial, pero mientras tanto, intentaré responder la pregunta más general.
Es muy común que una CA pública utilice una CA no raíz para emitir certificados de cliente. En lo que respecta al establecimiento de confianza, solo importa que los certificados de clientes puedan volver a conectarse a la raíz que se encuentra en su navegador, ya que la CA intermedia que la emitió es irrelevante en su mayor parte.
Hay varias razones para configurar una jerarquía de CA como esta, algunas están relacionadas con la seguridad y otras están relacionadas con la TI. Veamos un ejemplo de configuración de CA (no es la mejor imagen, pero vamos con eso):
Razonesporlasquepodríaconfigurarlodeestamanera:
IT/Administrative
UnaCApuedetenervariosdepartamentosdemarketingqueemitencertificadosSSL.Talvezestosdepartamentosseencuentrenendiferentesubicacionesfísicas,quizásesténsujetosadiferentesleyes,otalvezsoloesténendiferentesdepartamentosdelacompañía.Decualquiermanera,esprobablequedeseequelosadministradoresdecadadepartamentonotenganaccesoalaCAparaotrosdepartamentos.
Seguridad
¿QuésucedesisuCAraízsevecomprometida?¿Cómoterecuperasdeeso?Ustedno,suempresaquiebra,
Si, en cambio, es una CA intermedia que se compromete, tiene opciones. Si cada CA intermedia está en una red diferente con administradores diferentes, es muy probable que pueda cerrarla sin comprometer ninguna otra CA. Debe tener cuidado con los aspectos técnicos y de relaciones públicas, pero es posible trasladar los certificados de los clientes de la AC comprometida a otra CA sin que la gente pierda la confianza en usted. No es fácil, pero tienes opciones.
CA raíz no conectada
Por estas razones, es común que las CA comerciales tengan su raíz como una máquina que nunca, en ningún momento, esté conectada a una red. Su único trabajo en la vida es emitir certificados para las AC inmediatamente debajo, luego lo apaga y lo coloca en una bóveda. Buena suerte hackeando eso.
Supongo que al ver esos dos certificados que vinculaste es que
C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
es una raíz sin conexión, y
C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO Certification Authority
(que está subordinado a la primera) es una CA departamental regional (aunque la aclaración de su pregunta ayudaría).
Lea otras preguntas en las etiquetas certificates