Quiero saber algo de información sobre la regulación de las AC intermedias. ¿Existe algún estándar para que la CA intermedia determine cuántas CA intermedias se requieren o algo similar a lo que se refiere a la aplicación de la CA intermedia?
Los certificados TLS en la Web se rigen principalmente por el Foro de CA-Browser Requisitos de referencia , que todas las CA de confianza pública deben cumplir (los proveedores de navegadores).
En los Requisitos de línea de base (BR), los certificados intermedios no se requieren explícitamente para ser utilizados en absoluto. En teoría, una CA podría firmar todos sus certificados con la clave de su certificado raíz. Sin embargo, desde una perspectiva práctica, los intermedios son necesarios porque la clave raíz generalmente se mantiene fuera de línea para protegerla del compromiso por parte de actores maliciosos.
Si se emite un certificado intermedio a un tercero, esa parte se convierte en una CA subordinada del original, la CA raíz. En tales casos, los BR especifican que la CA subordinada debe seguir los Requisitos de línea base tal como lo hace la CA raíz:
La Sección 1.1 dice:
Estos requisitos se aplican a todas las Autoridades de certificación dentro de una cadena de confianza. Deben derivarse de la Autoridad de certificación raíz a través de sucesivas Autoridades de certificación subordinadas.
Actualmente, los requisitos de línea de base otorgan a la CA raíz la responsabilidad de garantizar que sus CA subordinadas cumplan con los requisitos de línea de base.
La Sección 9.6.1 dice:
La CA Raíz DEBE ser responsable del desempeño y las garantías de la CA Subordinada, del cumplimiento de la CA de la Subordinada con estos Requisitos y de todas las obligaciones y obligaciones de indemnización de la Subordinada CA bajo estos Requisitos, como si la CA raíz fuera la CA subordinada que emitió los Certificados
Además, los programas de tienda raíz de algunos navegadores pueden imponer regulaciones adicionales sobre los certificados intermedios por encima y más allá de lo que requieren los requisitos de referencia. Mozilla, por ejemplo, requiere que la existencia de cualquier certificado de CA subordinado se divulgue públicamente en sección 5.3.2 de sus Requisitos de la Tienda Raíz :
Todos los certificados que se pueden usar para emitir nuevos certificados, que no están técnicamente limitados, y que se encadenan de forma directa o transitoria a un certificado incluido en el programa raíz de Mozilla DEBEN auditarse de acuerdo con la Política de la Tienda Raíz de Mozilla divulgado en el CCADB por la CA que tiene su certificado incluido en el programa raíz de Mozilla. La CA con un certificado incluido en el programa raíz de Mozilla DEBE divulgar esta información dentro de la semana posterior a la creación del certificado, y antes de que dicha CA subordinada pueda emitir certificados. Toda la divulgación DEBE estar disponible gratuitamente y sin requisitos adicionales, incluidos, entre otros, el registro, los acuerdos legales o las restricciones a la redistribución de los certificados en su totalidad o en parte.
Aparte de eso, no tengo conocimiento de ningún otro estándar que regule el uso de certificados intermedios.
Revise el Requisitos mínimos para la emisión y gestión de certificados de firma de código de confianza pública . ¿De qué se trata, en parte, este documento?
El alcance de estos Requisitos incluye todos los "Certificados de firma de código", como se define a continuación, y las Autoridades de marca de tiempo asociadas, y todas las Autoridades de certificación técnicamente capaces de emitir Certificados de firma de código, incluida cualquier CA raíz que sea de confianza pública para la firma de código
y todas las demás CA que puedan servir para completar la ruta de validación de dicha CA raíz (énfasis mío).
Esperemos que esto tenga lo que estás buscando, o que al menos sea un paso en la dirección correcta.
Lea otras preguntas en las etiquetas certificates certificate-authority certificate-transparency