Während das Stammzertifikat an sich ausreicht, um die Sicherheit von SSL zu gewährleisten, verwenden die meisten CAs in der Praxis Zwischenzertifikate. Der Grund dafür sind die praktischen Aspekte, die mit der Erlangung der für die Ausstellung einer CA erforderlichen Qualifikationen verbunden sind.
In den meisten Fällen beginnt eine CA mit der Ausstellung von Cross-Zertifikaten. Diese digitalen Zertifikate werden von einer CA ausgestellt, die auf den öffentlichen Schlüssel eines von einer anderen etablierten CA ausgestellten Stammzertifikats verweist.
Eine Zertifizierungsstelle, die ihre Tätigkeit gerade erst aufgenommen hat, verfügt möglicherweise noch nicht über die erforderlichen Qualifikationen, um ein Stammzertifikat auszustellen. Daher wird sie die Dienste einer anderen, bereits etablierten Zertifizierungsstelle in Anspruch nehmen und deren Zertifikate mit einem gültigen Stammzertifikat verknüpfen, wodurch eine Vertrauenskette entsteht. Ein einzelnes vertrauenswürdiges Stammzertifikat wird mit mehreren anderen Zwischenzertifikaten mit Gegenzertifikaten verknüpft, so dass die Benutzer eine gültige Vertrauenskette für ihre SSL Implementierung erhalten können.
Sobald die CA die erforderliche Validierung erhält und als vertrauenswürdig eingestuft wird, um ihre eigenen Stammzertifikate auszustellen, wird sie den Vertrauensanker durch ihre eigenen Stammzertifikate ersetzen. Und die entsprechenden Stammzertifikate werden dem Stammzertifikatspeicher hinzugefügt.
Zwischenzertifikate dienen also dazu, die Lücke zwischen einer Zwischen-CA und einem vertrauenswürdigen Stammzertifikat zu schließen. Sie werden verwendet, um wachsenden CA-Unternehmen die Möglichkeit zu geben, Fuß zu fassen und einen Kundenstamm aufzubauen. Nach ordnungsgemäßer Validierung stellen sie ihre eigenen Stammzertifikate aus und vervollständigen so die Vertrauenskette ohne die Hilfe einer anderen CA.
Einige weitere Gründe, warum Zwischenzertifikate verwendet werden, sind im Folgenden aufgeführt
- Zwischenzertifikate tragen dazu bei, die Anzahl der verwendeten Stammzertifikate zu kontrollieren, und helfen, Sicherheitsrisiken und Betrug zu vermindern. Da immer mehr Benutzer SSL Sites einrichten, steigt die Anzahl der Root-CAs ebenfalls zunehmen. Eine zu große Anzahl von Stammzertifizierungsstellen kann jedoch zu ernsthaften Sicherheitsrisiken führen, die durch Zwischenzertifikate behoben werden sollen. Sie bieten den Stammzertifizierungsstellen die Möglichkeit, einen Teil der Verantwortung für die Ausstellung von Zertifikaten an Zwischenzertifizierungsstellen zu delegieren, indem sie Zwischenzertifikate bereitstellen, die ein Stammzertifikat ersetzen.
- Zwischenzertifikate können in großer Zahl repliziert werden, ohne dass der Sicherheitsrahmen beeinträchtigt wird, und tragen zum Aufbau der Vertrauenskette bei.
- Sie helfen bei der skalierbaren Implementierung des SSL Netzwerks.
Almost all trusted CAs use intermediate certificates as it adds an additional layer of security and helps manage security incidents gracefully. In case of a security attack, only the intermediate certificate needs to be revoked instead of revoking the root certificate and all associated certificates it has been used to sign.
Indem nur das betreffende Zwischenzertifikat widerrufen wird, ist nur die Gruppe von Zertifikaten betroffen, die sich in derselben Kette wie das Zwischenzertifikat befinden, wodurch die Kosten und Auswirkungen des Sicherheitsvorfalls minimiert werden.