CA не должен быть онлайн. Однако общедоступный сертификат CA может указывать на веб-сервер, имеющий списки отзыва. Это должно быть онлайн.
В большинстве реализаций установлен список открытых сертификатов CA. Пользователи обычно могут доверять сертификату даже без общедоступного сертификата CA. При необходимости веб-сервер предоставит свой публичный сертификат. В зависимости от конфигурации, он может отправлять один или несколько сертификатов в цепочке на общедоступные сертификаты ЦС. Это может включать сертификат CA.
Этот механизм может использоваться для других протоколов, основанных на TLS или более старых версиях SSL. Некоторые другие распространенные протоколы, использующие TLS, включают LDAPS, STMPS и IMAPS. Обычно серверы базовых протоколов поддерживают StartTLS, где TLS запускается на обычном незашифрованном порту.
РЕДАКТИРОВАТЬ: Большинство ЦС распространяют сертификаты по электронной почте или через веб-сайт. Они должны быть онлайн. Нет необходимости когда-либо подписывать сертификат в системе, подключенной к Интернету. Однако гораздо проще избежать Sneakernet и подключить его к системе, подключенной к Интернету. Это позволяет быстрее подписать оборот с меньшим количеством ручного вмешательства. Как мы уже видели, это позволяет украсть ключ подписи.
Как правило, ключ никогда не должен покидать систему, в которой он используется. Это относится ко всей цепочке. Важно защитить ключ, сертификаты должны быть общедоступными, чтобы быть полезными. Размещение ключей в безопасном съемном хранилище - вариант, но не без его собственных рисков.
Наличие безопасного пароля помогает, но для центров сертификации, которые выдают большие объемы сертификатов, пароль может быть доступен для сценария подписи. Это облегчает получение как ключа, так и его пароля.
Возможно сохранение ключа подписи верхнего уровня в автономном режиме и заблокированного в хранилище. Ключ второго уровня можно использовать для подписи сертификатов, а его сертификат предоставляется в качестве цепного сертификата. Восстановление после потери ключа второго уровня проще, чем восстановление после потери первичного ключа подписи.