Несоответствие сертификата SSL CA в браузере и в режиме OS
Я зашел на www.flipkart.com и просмотрел его цепочку сертификатов. Было два промежуточных сертификата, а именно Go Daddy Secure Certificate Authority - G2 и Корневой центр сертификации Go Daddy - G2 и корневой сертификат, а именно Центр сертификации Go Daddy Class 2 .
Я заметил, что Корневой центр сертификации Go Daddy - G2 был подписано центром сертификации Go Daddy Class 2 . Теперь я зашел в хранилище системных сертификатов и увидел, что Root Certificate Authority Go Daddy - G2 был самоподписанным (то есть находился в корневом хранилище).
Как это происходит? Я не в курсе?Когда я просмотрел веб-сайт, мне показалось, что он был подписан другим ЦС, но когда я просматривал магазин, он показывает самоподписанный?
Снимок экрана с сертификатом Go Daddy Root Certificate Authority - G2 взято с Flipkart: Скриншот сертификата Flipkart
Скриншот сертификата Go Daddy Root Certificate Authority - G2 взято из магазина Windows: Снимок экрана магазина Windows
Теперь, если вы заметили, серийные номера тех же сертификатов разные в представлении браузера и системы
Одно и то же Общее имя и ключ могут использоваться в разных файлах сертификатов, чтобы предлагать несколько путей для сертификации:
Путь 1 (ваш браузер учел этот путь, потому что сервер отправил это промежуточное звено)
- Сертификат веб-сайта, подписанный:
Go Daddy Secure Certificate Authority - G2, подписанный:Go Daddy Root Certificate Authority - G2, подписанный:Центр сертификации Go Daddy класса 2, самоподписанный , в хранилище доверенных сертификатов
Поскольку эта цепочка связывает сертификат веб-сайта с доверенным ЦС в магазине, сертификату веб-сайта можно доверять.
Путь 2 (он находится в хранилище сертификатов вашей системы, ваш браузер также может проверить его)
- Сертификат веб-сайта, подписанный:
Центр сертификации Go Daddy Secure - G2, подписанный:Go Daddy Root Certificate Authority - G2, самоподписанный , в хранилище доверенных сертификатов
Поскольку эта цепочка связывает сертификат веб-сайта с доверенным CA в магазине, сертификату веб-сайта можно доверять.
В этом случае оба пути принимаются всеми популярными браузерами.
Доступность двух отдельных путей на основе вашего хранилища сертификатов (система и / или браузер) не предусмотрена признак злонамеренной деятельности. Иногда несколько, иногда меняющиеся пути сертификации используются по ряду бюрократических и технических причин в среде CA. Люди, которые работают над браузером или обслуживают хранилища корневых сертификатов (Mozilla, Microsoft, ...), очень внимательно рассматривают все возможные последствия этого.
Примечание. Ваш пример веб-сайта предлагает самозаверяющий сертификат «Класс 2» для браузер тоже. Это бесполезно для обычных браузеров, потому что они уже есть, но это также не повредит (кроме создания ненужного трафика).
Я думаю, что это ожидаемое поведение:
Сертификат корневого CA будет самоподписанным, поскольку они являются доверенной третьей стороной для проверки других объектов. Однако, если они будут скомпрометированы, их корневой центр сертификации станет недействительным. Взгляните на детали сертификата, который должен сообщить вам, когда истечет срок его действия. Это верный признак того, что ваши сертификаты обновлены в вашем местном магазине CA.
Добавить
На основании вашего комментария я немного покопался:
https://certdb.com/domain/godaddy.com
Оба сертификата действительны. Вы можете определить даты «Действительно с» и «Действительно до». Что касается вашего запроса о разных эмитентах. Я предполагаю, что у них разные классы и уровни сертификатов. В зависимости от сертификата, выданного промежуточному ЦС или организации, будет зависеть от эмитента Go Daddy.
Я думаю, что выше с точки зрения цепочки. Я думаю, что тот от Flipkart находится ниже в их цепочке сертификатов.