Qual é a diferença entre os emissores de certificados da AWS CN=Amazon RSA 2048 M02 vs M03?

"Amazon RSA 2048 M02" e assim por diante são CAs intermediárias, pois as raízes têm nomes óbvios como "Amazon Root CA 4".

Você não controla quais intermediários emitem sua CA. Sabendo qual não é necessário, qualquer um deles será assinado em uma cadeia que leva a uma raiz. Por AWS Certificate Manager :

Os certificados de entidade final ou folha que o ACM emite para clientes derivam sua autoridade de uma CA raiz do Amazon Trust Services por meio de qualquer uma das várias CAs intermediárias. O ACM atribui aleatoriamente uma CA intermediária com base no tipo de certificado (RSA ou ECDSA) solicitado. Como a CA intermediária é selecionada aleatoriamente após a solicitação ser gerada, o ACM não fornece informações de CA intermediária.

A postagem do blog da AWS explicando autoridades de certificação intermediárias dinâmicas citou como elas tiveram dificuldade em revogar rapidamente uma CA subordinada . O motivo para isso parece relativamente pequeno. Mas os atrasos destacaram como essa organização que se orgulha de ser ágil não era assim em sua PKI.

Reemitir alguns milhões de certificados de usuário final após um problema com um subordinado é um desafio. E ainda haverá milhões por emissor na escala da AWS. Além disso, o que os emissores de balanceamento de carga realizam é ​​fazer com que os usuários finais e suas implementações TLS peculiares se familiarizem com o emissor não sendo estático.