Moin!

Wenn ich nun einen Schlüssel von Kunde x bekomme. Dann kann ich ohne Probleme diesen mit meinem Privaten-Key signieren. Doch kapieren die Browser diesen Sachverhalt überhaupt?

Nein, tun sie nicht. Deinem Zertifikat müsste erlaubt worden sein, weitere Zertifikate valide zu signieren - das wird nicht der Fall sein.

Denn wenn es so wäre, könntest du ja tatsächlich eine eigene CA aufmachen. Das bedeutet: Die dich zertifizierende CA hat die Verantwortung für deine CA, die sie dir damit zur Verfügung stellen würde. Denn sie unterschreibt dir ja sozusagen blanko, dass du weiteren Interessenten korrekte Zertifikate ausstellst. Sowas wird sie nur zulassen, wenn du wenigstens ein klein wenig mehr Aufwand hinsichtlich deiner Vertrauenswürdigkeit und deinen Signaturprozessen investierst, als der "ehrliche Ahmed" bei seiner Bewerbung zur Aufnahme seiner CA in den Firefox.

- Sven Rautenberg