hi,

ich besitze seit einiger Zeit ein SSL-Zertifikat was bei einem großen Anbieter gekauft wurde und daher in den gängigen Browsern usw. funktioniert ohne Nachfragen => Da das direkte Stammzertifikat hinterlegt ist.
=> Seite a hat Zertifikat a Signiert von b.
Der Browser hat das Stammzertifikat (Public-Key) von b => alles glücklich

Nun ist es ja so, dass b auch nur ein normales Public/Privat-Schlüsselpaar hat und man eben den Public-Schlüssel bei sich hat. Mein Public-Key wurde mit dem Privat-Key von b signiert und damit genießt mein Schlüsselpaar das volle vertrauen. Soweit alles grün und glücklich. Der Browser brauch nur im eigenen Hof schauen ob das passt.

----------
Nun zu meiner Frage, bzw meinem Gedankengang:
----------

Wenn ich nun einen Schlüssel von Kunde x bekomme. Dann kann ich ohne Probleme diesen mit meinem Privaten-Key signieren. Doch kapieren die Browser diesen Sachverhalt überhaupt?

Seite x hat Zertifikat x welches von a Signiert wurde.
Seite a hat Zertifikat a welches von b Signiert wurde.
b = die teure CA

Er müsste ja quasi aus dem Zertifkat x auslesen, dass ich das Signiert habe. Nun müsste er, ich vermute einfach mal, über die Domain auf meinem Server nach dem Public-Key fragen. Von diesem liest er wiederum, dass der von b Signiert wurde. Und b kennt er ja durch die eigenen Stammzertifikate.

Aber macht ein Browser dieses Kaskadierte-Prüfen überhaupt?

• Wenn ja, wieviele Stufen würde er da überhaupt erlauben?
• Wenn ja, kann er diese Zertifikate eigentlich cachen oder muss er Sie immer neu holen?

Natürlich müsste ich, fals das geht und ich es nutzen wollte, erst mal noch prüfen, ob das erlaubt wäre mit meinem Zertifikat.

Weil die hohen Gebühren jedes Jahr will man ja doch auch nicht haben ... Grade als kleiner Shop-Seiten betreiber, dürfte das abschrecken. Notwendig wäre es aber.

Bei den ganzen FB-Anwendungen kann ich zum Glück über Sub-Domains bei mir das ganze regeln. Da sieht man ja nicht unbedingt sofort die "fremde" Url ;)

Gruß Niklas