Die CMO Standard SSL Zertifikate werden mit einem sogenannten Zwischenzertifikat signiert. Welches wieder mit einem Root-Zertifikat signiert worden ist. Die meisten SSL-Zertifikate die in der Zwischenzeit zu bekommen sind, werden auf diese Weise signiert. Dies bedeutet, das der Browser zuerst einmal das signierte Kundenzertifikat mit dem Zwischenzertifikat überprüft und dieses Zwischenzertifikat dann mit dem Root-Zertifikat im Clientprogramm (z.B. Browser) prüft.
Der Grund hierfür ist in der Sicherheit des Root-Zertifikates begründet. Wenn Kundenzertifikate direkt mit einem Root-Zertifikat (welches im Client z.Bsp. Browser gespeichert ist) signiert werden, muss hier beim Signiervorgang immer auf das Root-Zertifikat zugegriffen werden. Also täglich sehr oft durch unterschiedliche Mitarbeiter. Würde das Root-Zertifikat dabei z.B. komprimitiert oder entwendet so könnten damit nun ungehindert und unberechtigt gültige Zertifikate erstellt werden welche in den Clientprogrammen auf der ganzen Welt akzeptiert werden. Erst wenn die Clientprogramme die Root-Zertifikate updaten, würden die unberechtigten Zertifikaten in den Clientprogrammen auffallen. Aus diesem Grund haben viele Zertifizierungsstellen von Ihren Root-Zertifikaten einmalig sogenannte Zwischenzertifikate erzeugt. Die Root-Zertifikate bleiben dann an einem sicheren Ort und die Kundenzertifikate werden nur noch mit dem Zwischenzertifikat signiert. Sollte diese nun entwendet oder komprimitiert werden, kann einfach ein neues Zwischenzertifikat erzeugt werden, mit dem die Kundenzertifikate dann signiert bzw. neu ausgestellt werden können.
Die nötigen Zwischenzertifikate erhalten Sie von CMO nach der Bestellung zusammen mit Ihrem Zertifikat. Alle populären Webserver unterstützen in der Zwischenzeit diese Zwischenzertifikate und lassen diese einfach in Ihre Konfiguration einbinden. Auf Clientseite ist hier nichts zu beachten.
