Aunque el certificado raíz basta por sí solo para aplicar la seguridad de SSL , en la práctica, la mayoría de las CA recurren a certificados intermedios. Ello se debe a las dificultades prácticas que conlleva la obtención de las cualificaciones esenciales necesarias para expedir una CA.
En la mayoría de los casos generales, una CA comienza con la emisión de certificados cruzados. Estos certificados digitales son emitidos por una CA que enlaza con una clave pública de un certificado raíz emitido por otra CA bien establecida.
Una autoridad certificadora principiante que acaba de iniciar sus operaciones puede no tener aún las cualificaciones necesarias para emitir un certificado raíz. Por ello, utilizará los servicios de otra CA bien establecida y vinculará sus certificados a un certificado raíz válido, formando así la cadena de confianza. Un único certificado raíz de confianza estará vinculado a otros múltiples certificados intermedios con certificados cruzados, lo que permitirá a los usuarios obtener una cadena de confianza válida para su implementación de SSL .
Una vez que la CA obtenga la validación necesaria y se considere digna de confianza para emitir sus propios certificados raíz, sustituirá el anclaje de confianza por sus propios certificados raíz. Y las raíces correspondientes se añadirán al almacén de raíces.
Así, los certificados intermedios sirven de puente entre una CA intermedia y un certificado raíz de confianza. Se utilizan para que las CA en crecimiento se establezcan y ayuden a crear una base de consumidores. Tras una validación adecuada, emitirán sus propios certificados raíz completando la cadena de confianza sin la ayuda de otra CA.
A continuación se enumeran otras razones por las que se utilizan certificados intermedios
- Los certificados intermedios ayudan a controlar el número de certificados raíz en uso y contribuyen a mitigar los riesgos de seguridad y el fraude. A medida que más y más usuarios implementan sitios SSL , el número de CA raíz también aumentará. Pero tener demasiadas CA raíz puede acarrear graves implicaciones de seguridad, que los certificados intermedios pretenden resolver. Proporcionan un medio para que las CA raíz deleguen parte de las responsabilidades de emisión de certificados en las CA intermedias, proporcionando certificados intermedios que sustituirán a un certificado raíz.
- Los certificados intermedios pueden replicarse en grandes cantidades sin comprometer el marco de seguridad y ayudando a establecer la cadena de confianza.
- Ayudan a la implantación escalable de la red SSL .
Casi todas las CA de confianza utilizan certificados intermedios, ya que añaden una capa adicional de seguridad y ayudan a gestionar los incidentes de seguridad con elegancia. En caso de ataque a la seguridad, sólo es necesario revocar el certificado intermedio en lugar de revocar el certificado raíz y todos los certificados asociados que se han utilizado para firmar.
Al revocar únicamente el certificado intermedio en cuestión, sólo se verá afectado el grupo de certificados que están en la misma cadena que el certificado intermedio, minimizando así el coste y el impacto del incidente de seguridad.