为什么证书颁发机构（CA）从中间颁发机构颁发证书而不是根颁发机构颁发证书？

Question

购买数字证书时，通过递归地跟随以根CA的证书结尾的“颁发者”权限链进行验证。

对销售证书的公司的几个网站的检查显示，他们的证书实际上是由同一家公司的中间CA签发的。叶证书和（可免费下载的）中间证书必须都安装在Web服务器上才能工作。

各种文档解释了这种设置如何工作，其中中间CA与根CA是不同的公司。但在这里他们是为同一家公司工作的。

有谁知道CA会从中间CA而不是自己的根CA颁发证书的一些关键原因？我认为有这种情况有助于各种管理方案（例如，中间证书可以设置为在根证书之前过期），但在某种程度上我在这里猜测。

谢谢

Answer 1

有几个原因可以做到这一点。

1. 根CA是信任层次结构中的顶级CA.当前的PKI（由RFC5280标准化）不提供任何方法来撤销根CA证书。因此，根CA损害（如果根CA充当CA的发行更可能）是一个非常严重的问题。
2. 根据第1段，根CA非常敏感，并且（至少应该）需要非常有限访问的高级别安全性。高负载请求流程不可能遵循高安全性。
3. 由于根CA为组织提供通用的信任锚，并且每个公司可能需要不同级别的保证和安全性，因此您需要有许多根CA，每个需要一个。

已经说过，在平台（Windows，* nix，Linux，Mac）上进行根CA维护并不那么简单，建立单个根CA并在单个根。在这种情况下，每个中间CA都将受到特定用途的限制（比如，一个用于SSL证书，一个用于代码签名证书，一个用于电子邮件等）和策略。

在这种情况下，如果出事了与颁发CA（即中间），CA拥有者可撤销妥协的中间CA，而无需经历从客户端的根CA去除漫长而复杂的过程。

此外，中间CA相对更改以反映大多数现代PKI趋势。使用单根CA，无需经历漫长而复杂的将根CA添加到客户端的过程，就可以更轻松地实施新的中间CA.

总结原因：更高的安全性和更好的可管理性。