信任链
前文 Digital Certificate 说明了如何解决发信人身份认证的问题。
其根源在于任何加密方法都需要一次分发密钥的过程,这个分发过程的安全性决定了之后的通信安全。
CA 的 Root Certificate 内置于操作系统,相当于第一次分发。之后的信息认证、密钥分发等操作都依赖于第一次分发,所以第一次安全即可认为第二次安全、第三次安全,以此类推。这就是一条信任链。
中间证书
在实际情况中,CA 不会直接使用 Root Private Key 为用户签发证书。因为一旦 Root Private Key 泄露,所有人都必须将对应的 Root Certificate 从系统中移除,这个操作成本很大、涉及面很广。
CA 会签发多个 Intermediate Certificate 用于为用户签发 End Entity Certificate。如果中间证书的私钥泄露,CA 可以吊销相关证书,影响范围会小很多。