Me han dicho que una CA raíz mantiene sus claves públicas / privadas totalmente fuera de línea. No estoy seguro de cómo funciona esto con la cadena de confianza:
- La CA raíz firma el certificado de CA2, verificando la clave pública de CA2
- CA2 firma el certificado de Bob, verificando la clave pública de Bob
- Bob usa su clave privada para enviar un mensaje a Alice e incluye su certificado
- Alice quiere asegurarse de que el mensaje venga de Bob y que se pueda confiar en Bob
- Alicia confía en la CA raíz
- Alice usa la clave pública de CA2 para verificar que el certificado de Bob era de confianza para CA2
- No estoy seguro : ¿cómo sabe Alice que puede confiar en CA2 sin verificar el certificado de CA2 con la clave pública de la entidad emisora raíz?
- Alice ahora confía en que el certificado de Bob es de confianza y puede usar la clave pública de Bob, que se encuentra dentro, para validar que el mensaje no ha sido manipulado.