Jerarquía de confianza
Para que los certificados digitales sean eficaces, los usuarios de certificados deben tener un alto nivel de confianza en ellos. Hay casos en los que un usuario no confía en el emisor de un certificado. Esto puede ocurrir si el usuario del certificado nunca ha oído hablar de la entidad de certificación y, por lo tanto, es incómodo aceptar un certificado de ese emisor en el valor facial. Este problema se soluciona en el proceso de certificación mediante una jerarquía de confianza.
Una jerarquía de confianza comienza con al menos una entidad de certificación que confía en todas las entidades de la cadena de certificados. Puede ser un administrador interno de la entidad de certificación o una empresa u organización externa que se especializa en comprobar identidades y emitir certificados. Esta autoridad se denomina autoridad raíz. Después, la entidad raíz certifica a otras entidades de certificación, llamadas entidades de certificación de primer nivel, que luego pueden emitir certificados y también certificar entidades de certificación adicionales o de segundo nivel. Esta situación se muestra en la ilustración siguiente.
La identidad de la entidad de certificación que emite un certificado forma parte de un certificado. Esa entidad de certificación se denomina emisor del certificado. Cuando el emisor de un certificado es una entidad de certificación de nivel 1 o nivel 2, el receptor de ese certificado puede determinar si el emisor del certificado está certificado como una entidad de certificación válida por una entidad de certificación en un nivel superior y que la entidad de certificación de nivel superior está certificada como una entidad de certificación de nivel superior aún por una entidad de certificación de nivel superior hasta que se determina que existe una cadena de confianza entre el nivel más bajo. entidad de certificación y la entidad de certificación raíz.
Por ejemplo, en la ilustración anterior, se puede comprobar que CA #4 se certificó como entidad de certificación por CA #1 y que CA #1 se certificó como entidad de certificación por la entidad de certificación raíz. Por lo tanto, cuando se pasa un certificado de una entidad de certificación de nivel inferior junto con el mensaje cifrado, se pasa información sobre todos los certificados de su cadena de confianza hasta la raíz junto con él.
La ilustración y la descripción que acaba de presentar es conceptual. En el mundo real, la situación de la entidad de certificación está evolucionando y no se ha establecido o aceptado ninguna autoridad raíz única. A corto plazo, las islas de autoridad se desarrollarán como se muestra en la ilustración siguiente.
En el tiempo, las islas raíz, raíz 1 y raíz 2 en la ilustración, podrían convertirse en CA de nivel 1 en una única CA raíz. En ese momento, la situación tendría de nuevo una única autoridad raíz. Sigue siendo visto cómo evolucionará la imagen real.