Mientras buscaba conocimiento sobre esto, encontré ¿Cómo me preparo para el fin de los negocios de Certificate Authority? , pero parece que no lo entiendo.
Digamos:
-
uno opera un servidor de archivos X,
X guarda archivos, firmas y la información del certificado público de S que se usó para firmar los archivos enviados por S a X,
-
party Y descarga el archivo y la firma de X y desea verificar que sea un archivo firmado por S .
Creo que la verificación funciona incluso si el certificado público almacenado y luego entregado con el archivo y la firma de X funciona, pero ¿qué sucede si la CA se ha cerrado o S ha cambiado a un proveedor diferente. ¿Se confía en la cadena de los antiguos certificados públicos guardados a lo largo de los datos? Si es así, ¿cómo es posible, si se rompe la cadena de CA?
Si bien la responsabilidad legal es en gran medida un asunto no técnico, si la cadena se rompe (ver el pasaje anterior), ¿el cambio de CA permitiría a S evadir posibles problemas que surgen al firmar documentos? Es decir. Técnicamente podría repudiar las firmas.
< edit: sospecho que esto podría girar en torno a algunos de los campos que establecen la entidad legal que ha solicitado el certificado, el nombre de la empresa o algún otro. También son interesantes las lecturas verificación de la cadena de certificados SSL , Recorriendo manualmente la validación de firma de un certificado y PKI - Certificate Chain Validation , lo que me lleva a creer que todos los certificados que excluyen la CA raíz deben estar presentes. Al menos en Windows, la CA raíz debe ser instalada por Microsoft, así que me pregunto si la CA raíz se eliminará, ¿entonces qué?