Una Autoridad de Certificación (CA) emite certificados digitales para certificar la propiedad de una clave pública por el sujeto designado del certificado. ¿Cuál es la justificación de la firma cruzada de CA (es decir, Y firmando Z y Z firmando Y )?
Por ejemplo:
Let Y, X, Z be different CAs. Z may have the following signing arrangements:
Y <<Z>>
Z <<Y>>
Z <<X>>
No pude encontrar una buena respuesta del intercambio de criptografía; agradecería una respuesta clara, gracias.
Las Autoridades de Certificación se cruzan entre sí cuando se casan.
Cuando CA Y emite un certificado para CA Z , cualquier sistema que confíe en Y ganará confianza en todo lo que Los problemas de Z , ya que, para cualquier certificado X emitido (firmado) por Z , un sistema que confía en Y creará la cadena Y → Z → X . Por lo tanto, esta certificación cruzada representa una afirmación de Y que básicamente dice: "todo lo que Z señala es tan bueno como si yo, Y , lo había firmado yo mismo ".
Si CA Z también emite un certificado para CA Y , la confianza va en ambos sentidos. Cada sistema que confíe en Y o Z podrá validar los certificados emitidos por ambos. Los dos CA ahora son realmente uno, al menos en lo que respecta a la confianza.
Un divorcio requeriría revocar ambos certificados cruzados, o al menos no emitir nuevos cuando caducan los certificados cruzados.
(En la práctica, este tipo de cosas sucede cuando se crea una nueva CA, pero es "moralmente" un reemplazo para la anterior; o cuando se produce una fusión entre dos empresas e intentan fusionar sus sistemas informáticos internos)
Lea otras preguntas en las etiquetas certificates certificate-authority