Центры сертификации не выпускаются напрямую из своих корней. Они добавляют уровни безопасности, выдавая промежуточные звенья, а затем ими подписывая вашисертификаты. Это помогает минимизировать и разделить ущерб в случае неправильной выдачи или события безопасности. Вместо того, чтобы отзывать корневой сертификат и буквально каждый сертификат, подписанный расширением, ЦС просто отзываете промежуточное звено, что вызывает недоверие только к группе сертификатов, выпущенных из этого промежуточного сертификата.
Широкое использование SSL-сертификатов и ключей, вызванное требованием Google о шифровании веб-сайтов, привело к созданию множества опасных слепых зон. Одной из самых больших угроз безопасности веб-сайта - и успеху вашего бизнеса - является отсутствие учета и контроля в вашей сети и вашей инфраструктуре открытых ключей. Существование теневых сертификатов - это серьезная опасность, которая может привести не только к нарушениям безопасности, но и к дорогостоящим простоям веб-сайтов или к перебоям в обслуживании.
В отличие от стандартных сертификатов SSL / TLS, промежуточные сертификаты могут подписывать другие сертификаты. Они могут подписывать другие промежуточные или сертификаты конечных пользователей. Когда сертификат, подписанный промежуточным сертификатом, предоставляется клиенту, клиент проверяет его подпись от промежуточного корня, поэтому затем он проверит подпись рутовском корне. Браузер будет продолжать проверять до тех пор, пока не сможет подключить листовой сертификат к одному из корней в своем корневом хранилище. Или, другими словами, он должен видеть, что промежуточный сертификат, который подписал клиентский сертификат или промежуточный корень, который подписал это промежуточное звено, был подписан одним из его доверенных корней.