1.11.2  Kořenové a podřízené certifikační autority

Certifikační autority, a to zejména ty akreditované, přitom nemusí být (a nebývají) „homogenní“, ve smyslu svého organizačního členění. Z praktických důvodů jsou naopak často vnitřně členěny, na kořenové autority, které jakoby vše zastřešují, a podřízené autority (někdy též zprostředkující autority), které teprve vydávají různé druhy certifikátů koncovým zákazníkům[14].

Takovéto hierarchické členění používá například certifikační autorita PostSignum, která měla do konce roku 2009 jednu kořenovou certifikační autoritu („Certifikační autoritu PostSignum“, PostSignum Root QCA) a dvě podřízené autority:

·         kvalifikovanou certifikační autoritu (PostSignum QCA, též PostSignum Qualified CA), která vydává kvalifikované certifikáty

·         komerční certifikační autoritu (PostSignum VCA, též PostSignum Public CA), která vydává komerční certifikáty

Obrázek 1 - 15: Vnitřní členění CA PostSignum do roku 2009

Počátkem roku 2010 pak, v souvislosti s přechodem na novou hašovací funkci SHA-2, svou vnitřní strukturu jakoby zdvojila: přidala novou kořenovou autoritu (PostSignum Root QCA 2), novou kvalifikovanou certifikační autoritu (PostSignum QCA 2, též: PostSignum Qualified CA 2) a novou komerční certifikační autoritu (PostSignum VCA 2, též: PostSignum Public CA 2).  Viz následující obrázek, který již ukazuje i další podřízené autority, konkrétně pro vydávání časových razítek (PostSignum TSA).

Obrázek 1 - 16: Vnitřní členění CA PostSignum od roku 2010

Hlavní rozdíl mezi původními a „dvojkovými“ autoritami PostSignum je přitom v tom, zda používají starší hašovací funkci SHA-1 (původní autority) nebo novou SHA-2 (nové „dvojkové“ autority).

Obdobně hierarchicky členěnou strukturu má i další akreditovaná certifikační autorita, eIdentity, viz obrázek:

Obrázek 1 - 17: Vnitřní členění CA eIdentity

Naproti tomu certifikační autorita I. CA (První certifikační autorita) používá „ploché“ uspořádání:

Obrázek 1 - 18: Vnitřní členění I.CA