Câu hỏi của tôi là: có cách nào hiệu quả để "gắn thẻ" các khóa gốc với dữ liệu "khóa này dành cho mycoolsite.com" sao cho việc xóa thẻ sẽ làm mất hiệu lực các khóa không?
Vâng, về cơ bản, đó là những gì chứng chỉ làm, nơi bạn có thể có một tên miền trong RDN kiểu X500 (Tên phân biệt tương đối). Cũng có thể có các tiện ích mở rộng (quan trọng) chứa dữ liệu bổ sung như tên thay thế chủ đề hoặc cách sử dụng khóa. "Nghiêm trọng" có nghĩa là không nên bỏ qua phần mở rộng ngay cả khi phần mở rộng không xác định. Tất cả dữ liệu này được ký bởi CA cấp chứng chỉ và PHẢI được xác thực bởi người xác minh.
Tất nhiên, ngay cả điều PHẢI trong quy trình xác minh chứng chỉ cũng có thể bị bỏ qua. Không thể làm mất hiệu lực khóa chính nóvà bạn không thể buộc một hệ thống bỏ qua dữ liệu được gửi đến nó từ bên ngoài (trừ khi tôi cho rằng bạn hộp cát hệ thống).
Cũng không thể không cho phép người dùng sao chép khóa chung hoặc yêu cầu chứng chỉ ở một nơi khác. Đôi khi các CA cụ thể sẽ giữ ID của các khóa trong chứng chỉ mà họ đã ký. Trong trường hợp đó, một CA có thể chọn bỏ qua yêu cầu chứng chỉ bằng khóa "cũ" - mặc dù theo kinh nghiệm của tôi, điều này thiên về việc tránh lỗi trong hệ thống.
Và cuối cùng, không thể hạn chế việc sử dụng khóa riêng. Người nắm giữ khóa riêng RSA có thể sử dụng khóa đó để ký hoặc thiết lập khóa, ngay cả khi thông tin chứng chỉ nêu rõ khác. Chứng chỉ chỉ nêu rõ cặp khóa có thể được sử dụng để làm gì, nhưng bên nhận, xác thực và tin cậy chứng chỉ để thực thi điều này tùy thuộc vào bên đó.