Ciao ragazzi,

Ho alcune curiosità a riguardo delle Root Certification Authority, gli organi di certificazione che rilasciano certificati SSL/TLS trusted.

Sappiamo che un client web (browser) riesce ad identificare con certezza un server verificando che il certificato del server sia trusted. Se questo certificato è stato rilasciato da una CA non root il browser segue la catena dei certificati fino ad arrivare alla Root CA. Se tutte le CA che "incontra" in questa catena sono trusted allora il certificato del particolare server con cui sta dialogando è trusted.
La questione è quindi facile nel caso il server abbia comprato il certificato da una ben conosciuta CA (VeriSign ad esempio).

Cosa succede però se il certificato del server proviene da una Root CA non conosciuta, come nel caso di Root CA privata o comunque custom? In questo caso il certificato verrà rifiutato ogni volta perchè il Root CA non è tra quelli conosciuti?
E, di conseguenza, come è possibile trasformare una Root CA in una trusted a livello globale? Bisogna registrarla in qualche registro delle Root CA?

Grazie in anticipo
Giulio