Názor k článku Let's Encrypt se osamostatní, přejde na svůj vlastní kořenový certifikát od Filip Jirsák - Certifikát se vždy podepisuje privátním klíčem. K němu...

Certifikát se vždy podepisuje privátním klíčem. K němu příslušný veřejný klíč je pak součástí certifikátu autority. Let's Encrypt teď má jednu aktivní dvojici klíčů, privátním klíčem z té dvojice podepisuje koncové certifikáty (např. serverový certifikát pro root.cz). Vedle toho má ještě druhou, záložní dvojici klíčů, které teď nepoužívá. Veřejný klíč od toho aktivního privátního klíče je součástí mezilehlého certifikátu – a těch mezilehlých certifikátů vydaných pro tenhle jeden veřejný klíč může být víc. Což je aktuální stav Let's Encrypt – mají ten veřejný klíč (jehož privátním klíčem podepisují koncové certifikáty) jednak na certifikátu podepsaném od IdenTrust, a teď ten stejný klíč podepsali ještě privátním klíčem své kořenové certifikační autority. Tím vznikly dva různé certifikáty, podepsané dvěma různými klíči a certifikačními autoritami, obsahují ale ten stejný veřejný klíč. Koncové certifikáty pak můžete validovat přes oba dva ty mezilehlé certifikáty, protože při validaci certifikátu je rozhodující jenom klíč – ověřuje se elektronický podpis toho koncového certifikátu, nic jiného než veřejný klíč autority tedy není potřeba.

Na obrázku v článku tedy máte „Let's Encrypt Authiroty X3“, což představuje jeden veřejný klíč, ale k tomu veřejnému klíči existují dva různé certifikáty, každý podepsaný jinou kořenovou CA. Ten zakulacený obdélník na obrázku tedy nepředstavuje certifikát, ale spíš veřejný klíč.