Een PKI infrastructuur werkt vaak met CA's.
De bedoeling is dat je een CA voor meer dan 100% vertrouwd, en daardoor ook alle certificaten die door deze CA zijn uitgegeven.
Vaak is het je webbrowser die standaard al een hele hoop CA's vertrouwd, zonder dat jij daar iets voor hoeft te doen.
CA's zonder meer vertrouwen is echter gevaarlijk omwille van 2 redenen:
1: CA's zijn vaak commerciële bedrijven.
Dat wil zeggen dat iedereen moet betalen om een certificaat te laten onderteken door een CA, en hoe makkelijker en simpeler dit kan, hoe meer de CA verdient.
Er zijn daardoor een heleboel geldige certificaten in omloop die eigenlijk niet aangevraagd zijn door de "echte" websitebeheerder, maar door personen met minder eerlijke bedoelingen. (Vaak voor het oprichten van phising sites.)
2: CA's zijn vaak overheden.
Ook de Belgische overheid is een CA en hun root certificate zit standaard in de meeste webbrowsers. Het is daarom voor de overheid perfect mogelijk om voor iedere domainnaam een certificaat aan te maken, dat zonder meer door jouw webbrowser geaccepteerd wordt. (Dat is door iedere "vertrouwde" CA mogelijk.)
Als je dan ook weet dat de Belgische overheid bepaalde .be domainnamen in het verleden al heeft laten redirecten door de DNS settings aan te passen, dan moet ik daar hopelijk geen tekening bij maken over wat de potentiële mogelijkheden zijn.
CA's vertrouwen is dus iets dat je niet zomaar mag doen, en in een veilige omgeving ook nooit zou moeten/mogen doen...