¿Hay algún uso en una extensión AIA en un certificado emitido directamente por una CA raíz?

Bueno, en teoría, nunca necesitarías necesitar el AIA.

Mandatos RFC 5280, que envía junto con cada certificado necesario. Y, opcionalmente, también puede enviar el certificado Root CA.

Y ese es el único certificado que es opcional.

Ahora no todos configuran sus servidores correctamente. Y aquí es donde entra AIA.

Si solo se envía el certificado de la entidad final, entonces el software cliente tendrá más trabajo por hacer. Y algún software cliente puede hacer una cosa llamada persecución AIA.

Buscará en los certificados que tiene y usará AIA para descargar certificados adicionales. Y si esto no conduce a una ruta utilizable dentro de 10 intentos o algo así, entonces la creación de la ruta falla.

Y crear una ruta significa: encontrar los certificados que conducen a una CA raíz confiable.

Si conduce a una CA raíz no confiable, tampoco puede confiar en el certificado hoja. De cualquier manera, llegará a una decisión sobre ese certificado de hoja. Y eso es lo que quieres.

Relacionado: InfoSec-SE: Pasos para averiguar si un certificado SSL es confiable

Editar 2015-04-28: AIA presenta una raíz. Tú decides sobre la confianza.
Con lo que puede ayudarlo la persecución de AIA es encontrar una (o muchas) CA raíz. Lo que hace no hacer es ayudarlo a decidir si esta CA vale su confianza.

Pero te conseguirá una CA raíz.

E incluso si obtienes una CA raíz en la que no confías, entonces sigue siendo útil, porque sabes que la respuesta es "No voy a confiar en eso". Y entonces no tienes que seguir buscando una respuesta.

Lectura adicional

• RFC 4158 - Infraestructura de clave pública de Internet X.509: Creación de rutas de certificación .
• Libro blanco que discute la, entonces nueva, extensión de AIA en 2002: Steve Lloyd, Oasis PKI Forum, Entendiendo la construcción de la ruta de certificación ,

Como señala, un AIA es útil para OCSP.

Para la validación de certificados sin procesar , agregar una URL que apunte a la raíz del certificado autofirmado es realmente inútil. Un certificado autofirmado de raíz solo se puede usar si ya lo tiene, porque su integridad y autenticidad no se pueden deducir de su firma. Si ya tiene el certificado, no es necesario descargarlo.

Sin embargo , hay algunos casos en los que la URL es útil, por ejemplo. como documentacion Básicamente, si un usuario de Windows hace doble clic en el certificado de la entidad final pero no instaló la raíz autofirmada, Windows lo descargará automáticamente y lo mostrará con una "X" roja, que al menos muestra el problema exacto. Si no hay una URL de AIA que apunte a ella, Windows se detendrá en la CA intermedia.

En una línea similar, la URL puede ayudar a un cliente SSL a construir una ruta completa. Cuando un servidor SSL solicita un certificado del cliente, envía la lista de nombres de CA raíz que utilizará para validar el certificado del cliente. El cliente no necesita confiar en su propio certificado (recuerde que su certificado es para otras personas, no para usted), pero la URL puede ayudar al cliente a darse cuenta de que su certificado realmente reside en una de las CA raíz en la que el servidor confía.

La URL puede admitir futuras evoluciones. En este momento, tiene su raíz, pero tal vez en algún momento en el futuro pueda llegar a un acuerdo con una CA raíz más grande que acepte emitir. un certificado CA intermedio para su raíz. En ese momento, los certificados emitidos por su raíz deben tener una URL que apunte a ese nuevo certificado de "CA intermedia", para ayudar en la creación de rutas (los clientes que confían en su raíz no lo necesitarán, pero ayudarán a los clientes que confían solo en la otra raíz más grande). Presionar una URL significativa en este momento garantiza que mantendrás esa tarjeta en tu juego.