Názor k článku Let's Encrypt se osamostatní, přejde na svůj vlastní kořenový certifikát od Filip Jirsák - Ano, faktická změna je jenom v tom, který...

Ano, faktická změna je jenom v tom, který mezilehlý certifikát vám Let's Encrypt pošle při generování certifikátu by default. Oba mezilehlé certifikáty snad na HTTPS server dát nejde – seznam certifikátů, které server posílá, se podle mne chápe jako orientovaný graf od serverového certifikátu k důvěryhodnému certifikátu, tj. každý následující certifikát podepisuje ten předchozí.

Vůči čemu se certifikát nakonec ověří také nemá server plně pod kontrolou – server může poslat mezilehlý certifikát podepsaný rootovským certifikátem Let's Encrypt, klient ale tomu rootovskému certifikátu nemusí důvěřovat. Za to ale klient důvěřuje IdentTrustu a odněkud má i ten mezilehlý certifikát Let's Encryptu podepsaný IdentTrustem. Klient podle položky Authority Key Identifier v zaslaném serverovém certifikátu zjistí, že může pro ověření použít ten mezilehlý certifikát podepsaný IdenTrustem a tomu důvěřuje, protože je podepsaný kořenovým certifikátem IdenTrustu. Nebo-li server poslal certifikační cestu k rootu Let's Encrypt, kterému klient nedůvěřuje, klient si ale našel jinou důvěryhodnou cestu k IdenTrustu a tím pádem důvěřuje i tomu koncovému serverovému certifikátu.