AWS 证书颁发者 CN=Amazon RSA 2048 M02 与 M03 之间有什么区别？

“Amazon RSA 2048 M02”等是中间 CA，因为根具有明显的名称，如“Amazon Root CA 4”。

您无法控制哪个中间人颁发您的 CA。知道哪一个是不需要的，它们中的任何一个都将在通向根的链中签名。根据AWS 证书管理器：

ACM 向客户颁发的叶证书或最终实体证书通过多个中间 CA 中的任何一个从 Amazon Trust Services 根 CA 获得授权。ACM 根据请求的证书类型（RSA 或 ECDSA）随机分配中间 CA。由于中间 CA 是在生成请求后随机选择的，因此 ACM 不提供中间 CA 信息。

AWS 博客文章解释了动态中间证书颁发机构，并指出他们难以迅速撤销下属 CA。这样做的原因似乎相对较小。但这些延迟凸显了这家以敏捷为荣的组织在 PKI 方面并非如此。

在下属出现问题后重新签发几百万个最终用户证书是一项挑战。而且在 AWS 的规模下，每个签发者仍会有数百万个证书。除此之外，负载平衡签发者所实现的功能是让最终用户及其古怪的 TLS 实现熟悉签发者并非静态的。