Почему организация использует отдельные сертификаты для идентификации и подписи?
DoD делает это, и я не могу понять вариант использования для этого. У них разные промежуточные CA, но я просто не могу вспомнить ситуацию, когда они хотели бы не доверять одному CA, а не другому.
Каковы недостатки простого добавления функций подписи и защищенной электронной почты в сертификат, который пользователь обычно использует только для установления своего идентификатора?
1 ответ
Я думаю, что первоначальная цель заключалась в том, чтобы не предоставлять каждому шифрование или подписывать сертификаты (т.е. некоторые CAC просто имеют сертификаты ID). Этого можно было бы достичь, просто установив использование ключа, но поскольку DoD может позволить себе выдавать как сколько угодно сертификатов в любое время и на смарт-карте есть место для их поддержки, почему бы не воспользоваться преимуществами?