ไม่ ใบรับรองข้ามและการเซ็นชื่อข้ามนั้นไม่ได้แตกต่างกันเลย และเป็นความจริงที่ทั้ง CA ระดับกลางและสิ่งที่เราเรียกว่ารูท CA ตามปกติสามารถได้รับการรับรองข้ามได้
ความสับสนของคุณอาจเกิดจากข้อเท็จจริง มันเบลอว่ารากคืออะไร. มี CA จำนวนมากที่ต้องการเป็นรูท ถือตัวเองเป็นรูท เผยแพร่ใบรับรองรูท นำไปใช้เพื่อรวมอยู่ในโปรแกรมใบรับรองรูท ฯลฯ แต่ผู้ให้บริการแต่ละราย เช่นท้ายที่สุดแล้ว เราแต่ละคนจะตัดสินใจว่า CA ใดที่เราเชื่อถือเป็นราก แม้ว่าพวกเราส่วนใหญ่จะยอมรับค่าเริ่มต้นของความน่าเชื่อถือที่กำหนดโดยเบราว์เซอร์หรือผู้ขายระบบ (Microsoft, Apple, Mozilla/Firefox, Sun/Oracle/Java, Goolge/Chrome และ Android เป็นต้น ). ไม่ว่า CA ที่กำหนดจะดูเหมือนรูทหรือไม่นั้นขึ้นอยู่กับว่าใครกำลังมองหา ตัวอย่างเช่น เป็นเวลานานที่ GeoTrust มีรูทที่เผยแพร่ของตัวเอง แต่ยังมีใบรับรองข้ามสำหรับ CA เดียวกัน (อาจมีหลายอัน ฉันจำได้แค่อันเดียวอย่างแน่นอน) จาก Equifax บางคนหรือบางระบบเชื่อถือรูท GeoTrust และปฏิบัติต่อพวกเขาเหมือนรูท CA บางคนไม่เชื่อ แต่ไว้วางใจ Equifax และด้วยเหตุนี้จึงไว้วางใจ GeoTrust เป็น CA รองภายใต้ Equifax ดังนั้นในสถานการณ์นั้น GeoTrust เป็นรากหรือไม่?
ตัวอย่างที่เป็นปัจจุบันและซับซ้อนกว่าคือ LetsEncrypt เมื่อพวกเขาเริ่มดำเนินการ พวกเขาสร้างรูท 'ISRG' ของตัวเองและเริ่มสมัครเพื่อให้ยอมรับ แต่ในตอนแรก พวกเขามี CA ระดับกลาง (รอง) สองตัวของพวกเขา LetsEncrypt X3 และ LetsEncrypt X4 (ฉันใช้ชื่อย่อเพื่อความสะดวก) ที่ลงนามโดย DST Root X3 ซึ่งเป็นรูทที่จัดตั้งขึ้นเพื่อให้เริ่มต้นได้อย่างรวดเร็วโดยไม่ต้องรอให้รูทของตัวเองได้รับการยอมรับ (ในทางเทคนิคแล้วพวกเขาเริ่มต้นด้วยตัวกลาง X1 และ X2 แต่สิ่งเหล่านั้นถูกแทนที่อย่างรวดเร็วด้วย X3 และ X4 เนื่องจากปัญหาที่ฉันจำไม่ได้ เช่น บางทีพวกเขาอาจไม่ทำงานกับ MSIE หรืออะไรทำนองนั้น) เพียงแค่ปีนี้ หลังจากนั้นประมาณ 5 ปี ในที่สุดพวกเขาก็ได้รับการยอมรับ ISRG Root X1 อย่างกว้างขวางมากพอที่พวกเขาจะเปลี่ยนไปใช้มันได้ ในขณะเดียวกันพวกเขาก็เพิ่ม ISRG Root X2 ซึ่ง AFAICT ยังไม่ได้รับการยอมรับอย่างกว้างขวาง ตอนนี้พวกเขาใช้ โครงสร้างความไว้วางใจนี้:
ตัวกลาง R3 และ R4 คือ เป็นหลัก ถูกล่ามโซ่ (สายมืด) กับ ISRG Root X1 แต่พวกมันก็เช่นกัน สามารถ ถูกล่ามโซ่ (เส้นสีเทา) กับ DST Root X3 หากคุณต้องการ
สำหรับระบบ (ส่วนน้อย) เหล่านั้นที่ไม่เชื่อถือ ISRG X1 ยังคงมีใบรับรองข้าม (หรือที่เรียกว่าบริดจ์) จาก DST X3
ตัวกลาง E1 และ E2 ถูกผูกมัดกับ ISRG X2 ซึ่ง สามารถ เป็นรูท แต่สำหรับระบบ (จำนวนมาก) ที่ไม่เชื่อถือ ISRG X2 นั้นได้รับการรับรองข้ามโดย ISRG X1 (และทางอ้อมโดย DST X3 หากจำเป็น)
สิ่งนี้ซับซ้อนเนื่องจากข้อเท็จจริงที่ว่า DST X3 ใบรับรอง หมดอายุในอีกไม่กี่สัปดาห์ (2021-09-30) กฎมาตรฐานไม่ได้บอกว่าการตรวจสอบความถูกต้องแบบลูกโซ่โดยใช้ใบรับรองรูทที่หมดอายุจะต้องหรือควรล้มเหลว ส่วนหนึ่งเป็นเพราะกฎเหล่านี้ไม่ได้ระบุใบรับรองรูทเลย มีเพียงบางฟิลด์เท่านั้น ซอฟต์แวร์เกือบทั้งหมดพบว่าสะดวกในการใช้ใบรับรองเป็นโครงสร้างข้อมูลสำหรับข้อมูลประจำตัวและคีย์รูท (หรือที่เรียกว่าจุดยึด) แต่สิ่งนี้ไม่จำเป็น ดังนั้นเชนที่ใช้ DST X3 อาจใช้งานไม่ได้ในไม่ช้า หรืออาจใช้ไม่ได้ ขึ้นอยู่กับปัจจัยที่ผู้ใช้ส่วนใหญ่จะไม่เข้าใจ ซึ่งไม่ใช่สิ่งที่ดีนัก
ราก ใบรับรอง มักจะลงนามด้วยตนเอง ใช่ (ซึ่งแสดงโดยลูกศรวนรอบตัวเองบนไดอะแกรม LetsEncrypt) อย่างไรก็ตาม CA ที่มีใบรับรองหลักก็อาจมีใบรับรองไขว้ หรือแม้แต่หลายรายการ ซึ่ง/ไม่ได้ลงนามด้วยตนเอง แต่มีไว้สำหรับ CA ซึ่งอาจมีป้ายกำกับและมองว่าเป็น CA รูท ใสเหมือนโคลน?