Si bien la mayoría de la documentación que he leído indica que no es necesario tener la extensión AIA en un certificado Root autofirmado (lo suficientemente lógico), no puedo encontrar nada que me indique que no debo hacerlo en los certificados emitidos. por la raíz. De hecho, la mayoría de los ejemplos que he encontrado tienen la CA raíz que emite certificados con una extensión AIA que apunta a la CA raíz.
RFC 5280 ofrece dos opciones posibles para el AIA:
- la URL del certificado de la CA emisora.
- la URL del respondedor de OCSP.
Por ahora, estoy ignorando OCSP y asumiendo que tenemos al menos una CA subordinada.
¿Cuál sería el punto de tener una entrada id-ad-caIssuers
en la extensión AIA dentro de un certificado emitido por la CA raíz? Si un subordinado necesita verificar esto para encontrar la ruta a la CA raíz, esto implica que el subordinado no conoce el certificado de la CA raíz y, por lo tanto, no lo tiene en su colección de anclajes de confianza. Una URL a la CA raíz no cambiará las cosas, ¡todavía no confiará en ella!
¿Estoy en lo correcto o me he perdido algún punto? En este último caso, ¿existe una situación en la que esta extensión AIA sea necesaria en un certificado emitido por la CA raíz?