Bien que le certificat racine suffise à lui seul à mettre en œuvre la sécurité du site SSL , dans la pratique, la plupart des autorités de certification utilisent des certificats intermédiaires. Cela s'explique par les aspects pratiques liés à l'obtention des qualifications essentielles requises pour délivrer un certificat d'autorité de certification.
Dans la plupart des cas, une autorité de certification commence par délivrer des certificats croisés. Ces certificats numériques sont délivrés par une autorité de certification qui établit un lien avec la clé publique d'un certificat racine délivré par une autre autorité de certification bien établie.
Une autorité de certification débutante qui commence à peine ses activités peut ne pas avoir les qualifications nécessaires pour délivrer un certificat racine. Elle utilisera donc les services d'une autre autorité de certification bien établie et liera ses certificats à un certificat racine valide, formant ainsi la chaîne de confiance. Un seul certificat racine de confiance sera lié à plusieurs autres certificats intermédiaires avec des certificats croisés, permettant ainsi aux utilisateurs d'obtenir une chaîne de confiance valide pour leur mise en œuvre de SSL .
Une fois que l'autorité de certification a obtenu la validation nécessaire et qu'elle est jugée digne de confiance pour émettre ses propres certificats racine, elle remplacera l'ancre de confiance par ses propres certificats racine. Et les racines correspondantes seront ajoutées au magasin de racines.
Les certificats intermédiaires servent donc à combler le fossé entre une autorité de certification intermédiaire et un certificat racine de confiance. Ils sont utilisés pour permettre aux entreprises d'AC en pleine croissance de trouver leurs marques et d'aider à établir une base de consommateurs. Après une validation adéquate, elles émettront leurs propres certificats racine, complétant ainsi la chaîne de confiance sans l'aide d'une autre autorité de certification.
Voici d'autres raisons pour lesquelles les certificats intermédiaires sont utilisés
- Les certificats intermédiaires permettent de contrôler le nombre de certificats racine utilisés et d'atténuer les risques de sécurité et de fraude. Comme de plus en plus d'utilisateurs mettent en place des sites SSL , le nombre d AC racine augmentera également. Mais un trop grand nombre d'autorités de certification racine peut avoir de graves conséquences sur la sécurité, ce que les certificats intermédiaires visent à résoudre. Ils permettent aux autorités de certification racine de déléguer certaines de leurs responsabilités en matière d'émission de certificats à des autorités de certification intermédiaires, en fournissant des certificats intermédiaires qui se substitueront à un certificat racine.
- Les certificats intermédiaires peuvent être reproduits en grand nombre sans compromettre le cadre de sécurité et en aidant à établir la chaîne de confiance.
- Ils contribuent à la mise en œuvre évolutive du réseau SSL .
Almost all trusted CAs use intermediate certificates as it adds an additional layer of security and helps manage security incidents gracefully. In case of a security attack, only the intermediate certificate needs to be revoked instead of revoking the root certificate and all associated certificates it has been used to sign.
En révoquant uniquement le certificat intermédiaire en question, seul le groupe de certificats faisant partie de la même chaîne que le certificat intermédiaire sera affecté, ce qui minimisera le coût et l'impact de l'incident de sécurité.