Condividi tramite

Gerarchia di attendibilità

  • Articolo

Affinché certificati digitali essere efficaci, gli utenti dei certificati devono avere un elevato livello di attendibilità. In alcuni casi un utente non considera attendibile l'autorità emittente di un certificato. Questo problema può verificarsi se l'utente del certificato non ha mai sentito parlare dell'autorità di certificazione e pertanto è scomodo accettare un certificato da tale autorità di certificazione in corrispondenza del valore nominale. Questo problema viene risolto nel processo di certificazione da una gerarchia di attendibilità.

Una gerarchia di attendibilità inizia con almeno un'autorità di certificazione considerata attendibile da tutte le entità nella catena di certificati. Può trattarsi di un amministratore interno dell'autorità di certificazione o di un'organizzazione esterna specializzata nella verifica delle identità e del rilascio di certificati. Questa autorità viene chiamata autorità radice . L'autorità radice certifica quindi altre autorità di certificazione, denominate autorità di certificazione di primo livello, che possono quindi rilasciare certificati e anche certificare autorità di certificazione aggiuntive o di secondo livello. Questa situazione è illustrata nella figura seguente.

gerarchia di di attendibilità

L'identità dell'autorità di certificazione che emette un certificato fa parte di un certificato. Tale autorità di certificazione è denominata autorità di certificazione dell'autorità di certificazione. Quando l'autorità emittente di un certificato è un'autorità di certificazione di livello 1 o di livello 2, il destinatario di tale certificato può determinare se l'autorità di certificazione del certificato è certificata come autorità di certificazione valida da un'autorità di certificazione a un livello superiore e che l'autorità di certificazione di livello superiore è certificata come autorità di certificazione valida da un'autorità di certificazione di livello superiore fino a quando non viene determinata che esiste una catena di attendibilità tra il livello più basso autorità di certificazione e autorità di certificazione radice.

Nell'illustrazione precedente, ad esempio, può essere verificato che la CA #4 sia stata certificata come autorità di certificazione dalla CA #1 e che CA #1 sia stata certificata come autorità di certificazione dalla CA radice. Pertanto, quando un certificato di un'autorità di certificazione di livello inferiore viene passato insieme al messaggio crittografato, vengono passate informazioni su tutti i certificati nella catena di attendibilità fino alla radice.

L'illustrazione e la descrizione appena presentata sono concettuali. Nel mondo reale, la situazione dell'autorità di certificazione è in evoluzione e non è stata stabilita o accettata alcuna singola autorità radice. A breve termine, le isole dell'autorità si svilupperanno come illustrato nella figura seguente.

isole di autorità in una gerarchia di

Nel tempo, le isole radice, Root 1 e Root 2 nell'illustrazione, potrebbero diventare ca di livello 1 a una singola CA radice. A questo punto, la situazione avrebbe di nuovo un'unica autorità radice. Resta da vedere solo come si evolverà l'immagine effettiva.