Veřejný klíč 1.CA (nebo jiné tuzemské CA) si může kdokoliv zařadit mezi své přijímané (ověřené) Certifikační autority sám.
Ověřit si identitu, totiž, že certifikát skutečně pochází od proklamované CA, můžete buďto porovnáním celého veřejného klíče CA s tím, který je uveřejněn na webu, nebo alespoň jeho otisku (Thumbprint, fingerprint). Otisk lze pro jistotu ověřit i jiným kanálem, než přes internet (web).
Problém přijímání certifikátů od kořenových CA je v tom, že pro praktické použití nějakého certifikátu si musíte stejně ověřit politiky všech certifikačních autorit, které v certifikačním stromu certifikaci zprostředkují, co garantují, co ne. Jakýkoliv slabý článek v řetězu se projeví. Také to, zda někdo v řetězci svůj certifikát nezneplatnil, atd. Zkrátka si hierarchizací stejně příliš nepomůžete, hloubka certifikace musí být únosná a Verisign nemá a nebude mít kancelář v každé obci za rohem.
Názor k článku
Kvalifikovaný certifikát na dvě věci
