Dado que una CA puede emitir otro certificado para que puedan continuar y hacer lo mismo, ¿qué evitaría que alguien use el certificado de su sitio web para emitir certificados y convertirse en una autoridad intermedia?
Supongo que hay una diferencia en los certificados emitidos para las entidades emisoras de certificados y en los emitidos por entidades emisoras de certificados: si me equivoco, ¿qué impide que alguien abuse de su certificado web para emitir incorrectamente otros certificados?
Dado que una CA puede emitir otro certificado para que puedan continuar y hacer lo mismo
La extensión de restricciones básicas puede indicar que un certificado de CA no puede emitir ningún otro certificado de CA, por lo que no todas las CA pueden crear CA adicionales.
¿Qué evitaría que alguien use el certificado de su sitio web para emitir certificados y convertirse en una autoridad intermedia?
El propósito principal de la extensión de Restricciones Básicas es indicar que algo es o no es una CA (sin una extensión de Restricciones Básicas, la respuesta es "bueno, es una CA si es autofirmada"). Además, la CA emisora no debe otorgar a un certificado de entidad final el uso KeyCertSign en la extensión de uso de clave, que se requiere para una CA.
k , m y n . Lea otras preguntas en las etiquetas certificates certificate-authority x.509