¿Cómo se restringen los certificados de uso de la "firma de certificado" a los dominios que pueden firmar?

  

Muchos sitios web grandes utilizan sus propios certificados de firma intermedios para generar certificados SSL para sus dominios.

No, generalmente no lo hacen. Solo muy pocos tienen su propia CA firmada por una CA raíz.

  

¿Cómo se le impide a la compañía firmar certificados para cualquier nombre de dominio que no sea el suyo?

No lo es, y es por eso que generalmente no obtiene un certificado de CA para firmar sus propios certificados. O solo lo obtienes con muchas restricciones y mucho dinero.

Acaba de mostrar por qué operar una CA es una posición de responsabilidad, y por qué los fabricantes de sistemas operativos y navegadores web limitan la lista de CA confiables a alrededor de 100 en todo el mundo de manera predeterminada.

Cuando una CA delega la firma en una CA subordinada, la CA primaria normalmente impondrá restricciones de nombre u otras restricciones de políticas en la CA subordinada (por ejemplo, una CA subordinada que desciende de la "CA 1 de la Interoperabilidad de CCEB del DoD de EE. UU." puede requerir la entidad emisora de certificados (CA) firmará solo los certificados de autenticación de máquina si las entradas SubjectCN y SubjectAN finalizan en ".mil"). La CA principal también puede limitar por política la longitud de la cadena, lo que evita que una CA subordinada delegue CA adicionales subordinadas.

Gran parte de esto se documenta y se cura como estándares y mejores prácticas en el foro de CA / Browser. Además, el documento técnico de Entrust sobre la firma cruzada entre pares de entidades emisoras de certificados tiene información interesante y accesible sobre restricciones de políticas.

Espero que ayude.