Según tengo entendido, las autoridades de certificación (CA) deben obtener su certificado raíz incluido en el navegador.
Qué sucede si el certificado raíz de una CA en particular aún no está incluido en el navegador web. ¿Hay otra manera de conseguirlo? Tal vez mi pregunta no es lo suficientemente clara. La pregunta debe ser: en un modelo jerárquico PKI, si los subCAs no tienen un certificado raíz incluido en el navegador web, ¿cómo pueden ingresar los subCAs?
Depende del navegador y del sistema operativo host, pero generalmente es posible decirle al sistema operativo o al navegador que confíe en una nueva CA.
Por ejemplo, si está utilizando Internet Explorer o Chrome en Windows, puede importar un certificado en el almacén de certificados de "CA raíz de confianza" de Windows y será de confianza a menos que otro certificado sea pinned . Firefox es más complicado.
Como otro ejemplo, puedes instalar un nuevo certificado en Android . Esto debería funcionar para la mayoría o todos los navegadores, pero es posible que le soliciten que haga una excepción antes de confiar en su nuevo certificado.
Otros sistemas operativos y navegadores tienen diferentes mecanismos para la instalación de certificados.
Lea otras preguntas en las etiquetas authentication web-browser certificate-authority