任意のCAは「中間CA」にすることができます。 「中間であること」は、検証者がそれをどのように見るかによって定義されるからです。
証明書を検証するときは、証明書を発行したCAによってその証明書に対して生成された署名を検証します。この署名は、CA公開鍵に対して検証されます。 CAの公開鍵が「本質的に」わかっている場合(たとえば、オペレーティングシステムと共に配布されるCAの公開鍵の1つ)、CAはトラストアンカーであり、rootとも呼ばれます) CA。一方、CA証明書(another CAによってそのCAに発行された証明書)の検証によってのみCA公開鍵を知っている場合、そのCAは「中間」と見なされます。 CAが信頼の連鎖のどこにあるかを説明する「中間」という名前を見ることができます。トラストアンカーは最初にあり、エンドエンティティは最後にあります(そうです!)、そしてその間のすべてが「中間」です。 。
証明書の内容を取得して自分のキーで再署名するだけで、同意や意識がなくてもCAの証明書を発行できます。つまり、この惑星上のすべてのCAは、潜在的に中間CAです。
CAは署名権限を別の「中間」CAに委任できます。証明書利用者が使用するパス検証ルールによっては、元のCAと同じくらい信頼できる場合があります。
特に非常に多くのCAが信頼できるルートストアにあるため、これは問題になる可能性があります。たとえば、以下の参考文献の筆記録の20ページ程度:
「…世界政府は、各国のSSL認証局に中間CA証明書を発行するよう法的に強制することができます。これにより、これらの政府機関は、安全なSSL接続を密かに傍受、復号化、監視できます…」
-スティーブギブソン、 今すぐセキュリティエピソード#243「SSLの状態の転覆」 。
これには実際のトラフィックへのアクセスが依然として必要ですが、特定の敵がそれを達成できるさまざまな方法があります。
これを、ルートが1つで、サブドメインに関連付けられたキーが関連付けられたサブドメインのみを保証できるDNSSECの状況とは対照的です。
問題のいくつかの複雑化と考えられる将来の解決策については、たとえば ImperialViolet-DNSSEC and TLS を参照して、誤ってまたは悪意でCAによって発行された証明書を除外し、MITMを回避します。 CA証明書のないサイトの場合。