Les
AC doivent-elles être fédérées dans une structure
hiérarchique ?
Il
n’y a pas de règle précise à imposer. Une entreprise
qui a son AC interne n’a pas à être intégrée
dans une structure quelle qu’elle soit. Maintenant, si elle doit communiquer
avec une autre entreprise ou une administration au travers de leurs ICP,
cela peut nécessiter une reconnaissance mutuelle qui peut se traduire
par le rattachement à une hiérarchie préexistante
(pyramide) ou une certification croisée (même niveau) des
AC. Si les communications se font au sein d’une communauté, il peut
y avoir mutualisation d’un certain nombre de services. Selon l’organisation
du secteur la relation peut être hiérarchique ou croisée.
Dans le cas de relations entre
une petite entité (entreprise ou individu) et une grande entité
(entreprise ou administration), on peut imaginer plusieurs cas de figures
:
·la
petite entité a sa propre AC, auquel cas il peut y avoir certification
croisée,
·la
petite entité appartient à une autre communauté, et
la certification croisée peut se faire par l’intermédiaire
d’une AC de plus haut niveau dans la hiérarchie de certification
de la petite entité.
·la
petite entité est abonnée à un tiers de confiance
AC publique (ou privé mais multi-clients), dans ce cas il doit y
avoir certification croisée entre l’AC de la grande entité
et l’AC fournisseur de la petite.
·la
petite entité n’a pas d’AC, elle doit adhérer à l’AC
de la grande entité. Au passage cela limite les services offerts,
comme la non répudiation qui ne peut pas se faire.