Đây là kiến trúc được áp dụng rộng rãi đối với dịch vụ Web. Trong đó, các trình duyệt và các máy chủ là những đối tượng sử dụng tiêu biểu nhất. Trong mô hình này, các trình duyệt đều lưu một file riêng chứa các thẻ xác nhận gốc của các CA được tin cậy. File này tồn tại ngay khi trình duyệt được cài đặt. Việc quản lý file này có thể được thực hiện bởi các cá nhân sử dụng trình duyệt. Các tổ chức cũng có thể cấp quyền cho việc tải hoặc quản lý các thông tin từ một máy chủ của tổ chức. Đối với mỗi file này, người sử dụng có thể bổ sung hoặc xoá bớt những thẻ xác nhận khỏi danh sách. Tuy nhiên, khả năng xử lý cách nhánh xác nhận của các ứng dụng hiện còn khá hạn chế.
Các trình duyệt có thể sử dụng các cặp khoá công khai/khoá riêng để ký, để kiểm chứng, giải mã hoặc mã hoá các thư điện tử theo chuẩn S/MIME. Với các thẻ xác nhận, các trình duyệt cũng có thể thiết lập các phiên truyền thông an toàn SSL (Secure Sockets Layer). SSL là một giao thức xác thực và mã hoá ở tầng chuyển vận. Trong một phiên truyền thông SSL, người dùng có thể gửi đi một mẫu biểu hoặc nhận về các thông tin từ một máy chủ dưới hình thức được mã hoá và xác thực. Mặt khác, các trình duyệt còn có thể kiểm chứng các chữ ký số được áp dụng đối với thông tin được truyền đi.
Hình 1.20: Kiến trúc PKI danh sách tin cậy
Như vậy, ta có thể coi kiến trúc PKI danh sách tin cậy là một mô hình hướng trình duyệt.
1.5.3.1. Ưu điểm của kiến trúc PKI danh sách tin cậy
Đây là kiến trúc đơn giản, quá trình truyền thông và xác nhận theo một hướng duy nhất, hơn nữa, mô hình này có thể được triển khai khá dễ dàng.
Trong kiến trúc này này, các đối tượng sử dụng có toàn quyền quản lý file lưu trữ danh sách thẻ xác nhận của các CA mà mình tin cậy.
Kiến trúc này có thể làm việc rất tốt với giao thức quản lý trạng thái thẻ xác nhận trực tiếp do các nhánh xác thực khá đơn giản. Hơn nữa, những yêu cầu về trạng thái thẻ xác nhận chỉ được gửi tới các CA ở trong danh sách các CA được tin cậy.
1.5.3.2. Nhược điểm của kiến trúc PKI danh sách tin cậy
Người sử dụng có toàn quyền nội dung của file chứa thẻ xác nhận của các CA mà nó tin cậy. Do vậy việc quản lý danh sách các CA được tin cậy của một tổ chức là rất khó khăn.
Việc khởi tạo danh sách mặc địch các CA được tin cậy khi cài đặt một trình duyệt sẽ dẫn đến việc khó đảm bảo tính xác thực trong quá trình khởi tạo thông tin về khoá công khai của các CA này. Đây có thể là một kẽ hở để các đối tượng tấn công lợi dụng.
Không phải tất cả những người sử dụng đều có khả năng quản lý tốt một file chứa quá nhiều thẻ xác nhận của các CA mà mình tin cậy.
Cấu trúc thẻ xác nhận không có nhiều hỗ trợ cho việc tìm ra các nhánh xác nhận.
Không có những hỗ trợ trực tiếp đối với các cặp thẻ xác nhận ngang hàng. Do vậy, nó hạn chế khả năng của CA trong quản lý sự tin cậy của mình đối với các CA khác.
Các chính sách đối với thẻ xác nhận không được hỗ trợ, do vậy, cần phải có một CA quản lý một số CA khác để có thể áp dụng các chính sách thẻ xác nhận và các mức đảm bảo. Điều này dẫn đến việc tăng số CA được tin cậy trong file của mỗi đối tượng sử dụng.
Hiện tại các trình duyệt không hề hỗ trợ tính năng tự động lấy thông tin trạng thái hoặc huỷ bỏ các thẻ xác nhận.
Tóm lại, ưu điểm đáng kể nhất của kiến trúc danh sách tin cậy là khả năng hỗ trợ đối với định dạng dữ liệu S/MIME và các phiên truyền thông SSL đối với các trình duyệt hiện nay. Dịch vụ World Wide Web và các trình duyệt là những đối tượng cơ bản trong công nghệ mạng hiện nay, nó cũng là nền tảng để phát triển các trình ứng dụng phân tán.
Hiện nay, các máy chủ Web đều hỗ trợ kiến trúc PKI theo danh sách tin cậy, bất kể ai muốn phát triển các ứng dụng PKI cho một lượng lớn đối tượng sử dụng đều phải ý thức được điều này. Hơn nữa, công nghệ Web hiện đang là một hướng lựa chọn phổ biến cho các ứng dụng trong phạm vi các mạng cục bộ. Như vậy, với sự hiện diện của các trình duyệt ở khắp mọi nơi và một vị trí quan trọng của chúng để xây dựng các ứng dụng mạng, đây thực sự là một kiến trúc quan trọng trong số các kiến trúc được áp dụng để xây dựng các hệ thống PKI.