Encontré este artículo y me topé con la parte:
Entonces, si un cliente confía en cualquiera de los certificados G5 como una raíz confiable, confiará en cualquier certificado emitido por una CA subordinada como el G3.
En cuanto a mi comprensión de RFC5280 (Sección 6.1.1 (d)), el servidor debe indicar en qué TrustAnchor el cliente debe validar la ruta del certificado. El autor del primer artículo (a mi entender) afirma que esta indicación no es necesaria y / o que el cliente aceptará mi certificado si confía en cualquiera de las CA firmantes.
Asumiendo que tenemos un escenario como este:
Root A --> intermediate
Root B --> intermediate
intermediate --> my Cert
donde Root A y Root B firmaron intermedio y intermedio firmaron mi Cert . El Servidor está configurado para entregar intermedio y mi Cert como la ruta del certificado y sugerirá que Raíz A debería ser el Ancla de confianza.
- Un cliente obviamente aceptará mi Cert si tiene Root A como un ancla de confianza.
- ¿Un cliente aceptará mi Cert si solo tiene Root B como un ancla de confianza?
- ¿Un cliente aceptará mi Cert si tiene solo intermedio como un ancla de confianza?
- ¿Un cliente aceptará mi Cert si solo tiene una versión autofirmada de intermedio (pero con la misma clave de privacidad / publicación) como Trust Anchor?
- ¿Alguna respuesta cambia si la raíz A y la raíz B tienen el mismo tema?
- Si alguna respuesta es No, ¿cómo puede un servidor saber qué ancla de confianza tiene el cliente, como en qué RootCA debe indicar la validación de ruta?