Nu, certificatele încrucișate și semnarea încrucișată nu sunt cu adevărat diferite și este adevărat că atât CA intermediare, cât și ceea ce numim în mod normal CA rădăcină pot fi certificate încrucișate.
Confuzia ta se poate datora faptului este neclar exact ce este o rădăcină. Există numeroase CA care doresc să fie root, care se prezintă ca root, care publică certificate rădăcină, care solicită să fie incluse în programele root-cert etc. Dar fiecare relier, de ex.fiecare dintre noi decide în cele din urmă în care CA-uri avem încredere ca rădăcină, deși cei mai mulți dintre noi acceptă pur și simplu valorile implicite de încredere stabilite de furnizorii de browser sau de sistem (Microsoft, Apple, Mozilla/Firefox, Sun/Oracle/Java, Goolge/Chrome și Android etc. ). Dacă un anumit CA arată ca o rădăcină poate depinde de cine caută. De exemplu, pentru o lungă perioadă de timp, GeoTrust a avut propria rădăcină publicată, dar a avut și certificate încrucișate pentru același CA (poate mai multe, îmi amintesc doar unul cu siguranță) de la Equifax. Unii oameni sau sisteme au avut încredere în rădăcinile GeoTrust? și le-au tratat ca și CA rădăcină; unii nu au avut încredere, dar au avut încredere în Equifax și, prin urmare, au avut încredere în GeoTrust ca CA(e) subordonate sub Equifax. Deci, în această situație, GeoTrust a fost sau nu o rădăcină?
Un exemplu mai actual -- și mai complicat -- este LetsEncrypt. Când au început operațiunile, și-au generat propria rădăcină „ISRG” și au început să depună cereri pentru a fi acceptat, dar inițial au avut cele două CA intermediare (subordonate) LetsEncrypt X3 și LetsEncrypt X4 (prescurt numele pentru comoditate) semnate de DST Root. X3, o rădăcină stabilită, pentru a le permite să pornească rapid fără a aștepta ca propria lor rădăcină să fie acceptată. (Tehnic au început cu intermediarii X1 și X2, dar acelea au fost înlocuite rapid cu X3 și X4 din cauza unei probleme pe care nu-mi amintesc, de parcă poate nu au funcționat cu MSIE sau ceva.) Chiar anul acesta, după vreo 5 ani de efort, au primit în sfârșit ISRG Root X1 acceptat suficient de larg pentru a putea trece la utilizarea acestuia; între timp au adăugat ISRG Root X2, care AFAICT nu este încă atât de acceptat. Deci acum folosesc această structură de încredere:
intermediarii R3 și R4 sunt în primul rând înlănțuite (liniile întunecate) la ISRG Root X1, dar și ele poate sa fiți înlănțuit (liniile gri) la DST Root X3 dacă doriți
pentru acele (puține) sisteme care nu au încredere în ISRG X1, există încă un certificat încrucișat (numit și bridge) de la DST X3
intermediarii E1 și E2 sunt înlănțuiți la ISRG X2, care poate sa fi o rădăcină, dar pentru (multe) sisteme care nu au încredere în ISRG X2, acesta este, de asemenea, certificat încrucișat de ISRG X1 (și, prin urmare, indirect de DST X3, dacă este necesar)
Acest lucru este complicat de faptul că DST X3 cert expiră în câteva săptămâni (2021-09-30). Regulile standard nu spun dacă validarea în lanț folosind un certificat rădăcină expirat trebuie sau ar trebui să eșueze, parțial pentru că nu specifică deloc un certificat rădăcină, doar anumite câmpuri; aproape pentru toate programele software este convenabil să folosească un certificat ca structură de date pentru o identitate și o cheie rădăcină (numită și ancora), dar acest lucru nu este necesar. Așadar, lanțurile care folosesc DST X3 pot deveni în curând invalide sau nu, în funcție de factori pe care majoritatea utilizatorilor nu vor putea înțelege, ceea ce nu este un lucru foarte bun.
O rădăcină certificat este întotdeauna autosemnat, da. (Acest lucru este indicat de săgețile de auto-buclă din diagrama LetsEncrypt.) Cu toate acestea, un CA care are un certificat rădăcină poate avea și un certificat încrucișat, sau chiar mai multe, care este/nu sunt autosemnate, dar este/sunt pentru un CA care poate fi etichetată și văzută ca CA rădăcină. Limpede ca noroiul?