Hơn nữa, do chứng nhận chỉ được phát hành theo một hướng nên kiến trúc PKI phân cấp hoàn toàn dễ triển khai. Đường dẫn cho một thực thể cuối đến gốc hay CA phát hành có thể được xác định dễ dàng và nhanh chóng.
Tuy nhiên, kiến trúc PKI phân cấp gặp một trở ngại chính, đó là chỉ có một điểm tín nhiệm duy nhất (chính là CA gốc) điều khiển toàn bộ kiến trúc PKI phân cấp. Nếu sự tổn thương nằm ở CA cấp dưới vẫn có thể giải quyết được bằng cách các CA cấp trên
thu hồi các chứng nhận của chúng và thiết lập lại. Trong trường hợp CA gốc bị tổn thương, tồn bộ sự tín nhiệm trên kiến trúc PKI sẽ sụp đổ.
Hơn nữa, việc chuyển từ một tập CA cơ lập và trong PKI phân cấp có thể khơng thực hiện được bởi vì lúc đó mọi thực thể phải điều chỉnh lại điểm tin cậy của mình. Một vấn đề khác kiến trúc PKI phân cấp không phù hợp trong các mối quan hệ ngang hàng. Ví dụ, khi hai tổ chức muốn hoạt động trong cùng một kiến trúc thì ai sẽ quản lý CA gốc. Để khắc phục sự điều này, kiến trúc lưới được sử dụng.
4.2.4 Kiến trúc lƣới
4.2.4.1 Khái niệm
Trong kiến trúc PKI lưới, các CA có mối quan hệ ngang hàng (peer−to−peer) và khơng có CA đơn lẻ nào trong toàn bộ kiến trúc PKI. Mọi CA trong PKI lưới có thể là điểm tín nhiệm và thực thể cuối tín nhiệm CA phát hành chứng nhận cho họ. Trong kiến trúc này, mọi CA chứng nhận chéo cho nhau (cross-certified). Sự chứng nhận chéo là quy trình kết nối hai CA nhằm thiết lập một mối quan hệ tin cậy hai chiều. Hai CA sẽ chứng nhận chéo bất cứ khi nào các thực thể tương ứng của chúng cần giao tiếp một cách an toàn.
4.2.4.2 Đường dẫn chứng nhận
Trong kiến trúc này, đường dẫn chứng nhận được bắt đầu tại điểm tín nhiệm và di chuyển về hướng CA phát hành chứng nhận cho thực thể cuối đang cần xây dựng đường dẫn chứng nhận.
Hình 4.11. Đường dẫn chứng nhận trong kiến trúc lưới
Một CA có thể có nhiều chứng nhận chéo vì vậy việc xây dựng đường dẫn thêm phức tạp do có nhiều lựa chọn. Một trong số lựa chọn dẫn đến một đường dẫn hợp lệ trong khi các lựa chọn khác dẫn đến ngõ cụt hoặc rơi vào vịng lặp chứng nhận vơ tận. Độ dài tối đa của đường dẫn chứng nhận trong PKI lưới là số lượng CA có trong PKI. Ngồi ra, kiến trúc lưới liên quan đến sự xây dựng của các đường dẫn chứng nhận khác nhau bởi các người sử dụng khác nhau. Do điểm tính nhiệm ln là CA phát hành chứng nhận cho thực thể cuối, nên khi DBPhuong xây dựng một đường dẫn chứng nhận cho TMTriet, điểm khởi đầu là CA đã phát hành chứng nhận cho DBPhuong (là CA-1) và điểm cuối là chứng nhận của TMTriet. Tương tự, khi LVMinh xây dựng một đường dẫn chứng nhận cho TMTriet, điểm khởi đầu là nhà phát hành chứng nhận cho LVMinh (là CA-3) và điểm cuối là chứng nhận của TMTriet. Các đường dẫn chứng nhận được dựng lên bởi DBPhương cho TMTriet:
[CA–1 CA–2] : [CA–2 TMTriet]
Các đường dẫn chứng nhận được dựng lên bởi LVMinh cho TMTriet:
[CA–3 CA–2] : [CA–2 TMTriet]
[CA–3 CA–1] : [CA–1 CA–2] : [CA–2 TMTriet]
Trong cả hai trường hợp, đường dẫn chứng nhận sẽ không như nhau trừ khi cả DBPhuong và LVMinh đều cùng có chung nhà phát hành CA hay điểm tín nhiệm giống như DBPhuong với HTPTrang (chung một điểm tín nhiệm là CA-1)
Mặc khác, do kiến trúc lưới chứa nhiều mối quan hệ hai chiều giữa các CA, thường có nhiều hơn một đường dẫn chứng nhận giữa thực thể bất kỳ và một điểm tín nhiệm. Trong kiến trúc phân cấp, xây dựng một đường dẫn chứng nhận từ chứng nhận người dùng đến điểm tín nhiệm cao nhất là tất định trong khi ở kiến trúc lưới là bất định. Sự tìm ra đường dẫn khó hơn trong trường hợp kiến trúc ngang hàng. Độ dài đường dẫn có thể dài hơn trong kiến trúc PKI phân cấp.
4.2.4.3 Nhận xét
Có nhiều điểm tin cậy trong kiến trúc PKI lưới, và do đó sự tổn thương của một CA đơn lẻ khơng thể làm sụp đổ tồn bộ PKI mà chỉ ảnh hưởng đến các thực thể liên kết với CA bị tổn thương đó. Lúc này, chứng nhận của CA bị tổn thương sẽ bị thu hồi bởi các CA đã phát hành chứng nhận đến CA đó.
CA mới dễ dàng được thêm vào kiến trúc PKI bằng cách phát hành chứng nhận đến ít nhất một CA khác trong lưới. Kiến trúc lưới có một điểm đặc biệt là mỗi CA phải kết nối với các CA khác, tạo thành một đồ thị đầy đủ. Điều đó có nghĩa là nếu có 𝑛 CA, số lượng liên kết cần thiết sẽ là 𝑛 × (𝑛 – 1). Do đó, khi số lượng CA tăng lên, số
lượng chứng nhận chéo cũng như số lượng chuỗi chứng nhận trở nên vô cùng lớn.
4.2.5 Kiến trúc lai
Các kiến trúc PKI kể trên trong chừng mực nào đó đã thỏa mãn các nhu cầu của một tổ chức hay một nhóm người sử dụng. Tuy nhiên, khi các tổ chức muốn tương tác với nhau thì việc triển khai kiến trúc PKI trở nên phức tạp do các tổ chức này không phải lúc nào cũng sử dụng các kiến trúc PKI giống nhau. Ví dụ, một tổ chức triển khai kiến trúc CA đơn, trong khi tổ chức khác lại triển khai kiến trúc phân cấp hay lưới.
Trong tình huống như vậy, PKI cần cung cấp một giải pháp tối ưu cho phép các tổ chức có thể tương tác với nhau trong một môi trường tin cậy. Trong trường hợp này, kiến trúc “lai” sẽ rất hữu dụng trong việc cho phép quá trình tương tác giữa các tổ chức thành công.