El plan es tener una situación en la que no se deba confiar en terceros a menos que usted lo indique explícitamente. Por ejemplo, las CA solo se usan cuando el contacto ha agregado explícitamente a la CA como parte de confianza (no habrá ninguna entidad CA raíz o CA de confianza que firme otras CA).
Métodos que he recogido hasta ahora:
- El ejemplo de CA anterior.
- Usar una web de confianza.
- Enviar una contraseña de un solo uso a una clave pública no autenticada, lo que requiere que esta contraseña se te envíe de vuelta a través de otro medio para demostrar que eres tú. Como un SMS de un número conocido de antemano o cara a cara. Dado que solo el titular de la clave privada podría saber esta contraseña, se comprueba que la posee.
¿Hay otras formas de autenticar a los propietarios de certificados cuando no está sujeto a los estándares pero no puede distribuir hardware por adelantado?
Para aclarar: Se trata de verificar que el titular de la clave privada es realmente la persona que usted cree que debería ser el titular. En otras palabras, se trata de autenticar la identidad del propietario del certificado. Así que, como: "¡Hey [email protected]! ¿Eres realmente el Frank que conozco de la clase?"