Không, chứng chỉ chéo và chữ ký chéo không thực sự khác nhau và đúng là cả CA trung gian và CA gốc mà chúng ta thường gọi đều có thể được chứng nhận chéo.
sự nhầm lẫn của bạn có thể là do thực tế nó mờ chính xác gốc là gì. Có rất nhiều CA muốn trở thành gốc, tự coi mình là gốc, xuất bản chứng chỉ gốc, áp dụng để được đưa vào chương trình chứng chỉ gốc, v.v. Nhưng mỗi relier, tức là.mỗi chúng ta, cuối cùng sẽ quyết định CA nào chúng ta tin tưởng làm gốc, mặc dù hầu hết chúng ta chỉ đơn giản chấp nhận các mặc định tin cậy do trình duyệt hoặc nhà cung cấp hệ thống đặt (Microsoft, Apple, Mozilla/Firefox, Sun/Oracle/Java, Goolge/Chrome và Android, v.v. ). Việc một CA nhất định có giống như một gốc hay không có thể phụ thuộc vào người đang tìm kiếm. Ví dụ: trong một thời gian dài, GeoTrust đã có gốc được xuất bản của riêng họ, nhưng cũng có các chứng chỉ chéo cho cùng một CA (có thể là một số, tôi chắc chắn chỉ nhớ một chứng chỉ) từ Equifax. Một số người hoặc hệ thống đã tin cậy (các) gốc GeoTrust và coi chúng là (các) CA gốc; một số thì không, nhưng đã tin tưởng Equifax và do đó tin tưởng GeoTrust với tư cách là (các) CA cấp dưới của Equifax. Vậy trong tình huống đó GeoTrust có phải là root hay không?
Một ví dụ hiện tại -- và phức tạp hơn -- là LetsEncrypt. Khi họ bắt đầu hoạt động, họ đã tạo gốc 'ISRG' của riêng mình và bắt đầu đăng ký để được chấp nhận, nhưng ban đầu họ có hai CA trung gian (cấp dưới) LetsEncrypt X3 và LetsEncrypt X4 (tôi viết tắt tên cho thuận tiện) được ký bởi DST Root X3, một gốc đã được thiết lập, để cho phép họ bắt đầu nhanh mà không cần đợi gốc của chính họ được chấp nhận. (Về mặt kỹ thuật, họ bắt đầu với các sản phẩm trung gian X1 và X2, nhưng chúng nhanh chóng được thay thế bằng X3 và X4 do một vấn đề mà tôi không nhớ, giống như có thể chúng không hoạt động với MSIE hoặc thứ gì đó tương tự.) Chỉ trong năm nay, sau khoảng 5 năm của nỗ lực, cuối cùng họ đã được ISRG Root X1 chấp nhận đủ rộng rãi để họ có thể chuyển sang sử dụng nó; trong khi chờ đợi, họ đã thêm ISRG Root X2, mà AFAICT vẫn chưa được chấp nhận rộng rãi. Vì vậy, bây giờ họ sử dụng cấu trúc tin cậy này:
các chất trung gian R3 và R4 là chủ yếu nối (các đường tối) với ISRG Root X1, nhưng chúng cũng có thể được nối (các đường màu xám) với DST Root X3 nếu bạn muốn
đối với những (vài) hệ thống không tin tưởng ISRG X1, vẫn có chứng chỉ chéo (còn gọi là cầu nối) từ DST X3
các chất trung gian E1 và E2 được liên kết với ISRG X2, có thể là root, nhưng đối với (nhiều) hệ thống không tin tưởng ISRG X2, nó cũng được chứng nhận chéo bởi ISRG X1 (và do đó gián tiếp bởi DST X3 nếu cần)
Điều này phức tạp bởi thực tế là DST X3 chứng chỉ sẽ hết hạn sau vài tuần nữa (2021-09-30). Các quy tắc tiêu chuẩn không cho biết liệu việc xác thực chuỗi bằng chứng chỉ gốc đã hết hạn có phải hoặc sẽ thất bại hay không, một phần vì chúng hoàn toàn không chỉ định chứng chỉ gốc, chỉ một số trường nhất định; gần như tất cả các phần mềm thấy thuận tiện khi sử dụng chứng chỉ làm cấu trúc dữ liệu cho khóa và danh tính gốc (còn gọi là neo), nhưng điều này là không bắt buộc. Vì vậy, các chuỗi sử dụng DST X3 có thể sớm trở nên không hợp lệ hoặc có thể không, tùy thuộc vào các yếu tố mà hầu hết người dùng sẽ không thể hiểu được, đây không phải là một điều tốt.
Một sợi rễ giấy chứng nhận luôn luôn tự ký, vâng. (Điều này được thể hiện bằng các mũi tên tự vòng lặp trên sơ đồ LetsEncrypt.) Tuy nhiên, một CA có chứng chỉ gốc cũng có thể có chứng chỉ chéo, hoặc thậm chí nhiều chứng chỉ, nghĩa là/không phải là chứng chỉ tự ký nhưng là/là dành cho một CA có thể được gắn nhãn và được xem dưới dạng CA gốc. Rõ như bùn?