Megpróbáltam rávilágítani, hogy miért mondta a kolléga, hogy a belső CA akkor is számít, ha nincs benne a kommunikációban, mert úgy tűnt, nem érted.
Miért számít/előnyös a belső CA, ha csak monitorozza a hálózatot és aktívan nem avatkozik be? (Tekintsünk el attól a helytelen gyakorlattól, amikor CSR-rel együtt a privát kulcs is mindenfelé megfordul.)
Az állítás így szólt:
Ott a CA házon belül van, az SSL kapcsolatokat fel tudod bontani.
Ebben implicit szerepel (könnyen bele lehet érteni), hogy a szolgáltatások CA-ját belső CA írja alá.
Pontosabb megfogalmazás ez lenne: "ahol van hálózaton belüli CA (is), ott az SSL kapcsolatokat fel tudod bontani". Mert az mindegy, hogy a szolgáltatások tanúsítványát milyen CA írja alá, a lényeg az, hogy a kliens megfelelő CA-val aláírt tanúsítványokat vagy explicit rögzített tanúsítványokat lásson.