Csak afelett sikerült elsiklanod, hogy pont mostanában mókoltak az intermediate tanusítványokkal, tehát nem olyan régen VOLT intermediate kiadás. Ráadásul egy CA tanusítvány kiadását kétlem, hogy 1 ember végzi, azt azért legaláb 2-3 embernek át kellene nézni, hogy minden fasza-e. Nekem nagyon fura és lazy működésnek tűnik, ha egyszerre ennyi ember képes volt nem észrevenni a hibát.
"meg a folyamatot is" - kicsit ellentmondásosnak érzem, nem látom, hogy mi a garancia, hogy nem lesz a következőnél megint - valami másik - hiba. Ha ritkán futtatott, akkor gyakorolják, legyen félévente képzés belőle, vagy valami, erre vannak egész jó megoldások is. Amúgy, az intermediate CA-knak is (egy másik) széfben kéne tárolva lennie, mert ha kompromittálódik, az csak egy hajszállal rosszabb a root CA kompromittálódásánál. Ezért sem értem a dolgot, ma már a HSM-ek egész "barátságos" felületet adnak erre, egy bármilyen tanusítvány - CA-t is beleértve - kiadása néhány kattintásba kerül. Ha meg a Netlocknál még odáig se sikerült eljutni, hogy HSM-ben tárolják a certeket, az megint sokat elmond a technikai felkészültségükről.
Ettől eltekintve: maga az intermediate CA és a normál tanusítvány kiadása nem annyira eltérő folyamat. A CSR más, meg másik CA-val írunk alá, de technikai oldalról ennyi a különbség, illetve elvileg egy intermediate CA tanusítványt - logikusan - pár embernek át kellene néznie, mielőtt rákerül a "minden fasza" pecsét. Nem arról van szó, hogy papírrepülőt hajtogatni vs bronzszobrot készíteni. És tudván azt, hogy amúgy a normál tanusíŧványokat is el szokták bökni (voltunk ennek szenvedő alanyai), sokkal jobban oda kéne figyelniüik a CA-knál. Ha ez azt jelenti, hogy addig nem cserélnek monitoring rendszert amíg az intermediate CA tanusítványok ki nincsenek adva, akkor azt jelenti. A jó cégvezető ismeri az emberei korlátait.