根存储是否可以包含非自签名证书,即颁发者和主题不同?
如果是这样,证书链验证会在根存储中遇到非自签名证书时返回“成功”,还是会在根存储中继续验证,直到自签名证书(“成功”)或没有遇到(“失败”)?
我怀疑这种行为取决于实现,但我找不到任何参考。
【问题讨论】:
标签: security ssl cryptography certificate ssl-certificate
RFC5280, Section 3.2 中定义的根:
(a) Internet Policy Registration Authority (IPRA): This authority, operated under the auspices of the Internet Society, acts as the root of the PEM certification hierarchy at level 1. It issues certificates only for the next level of authorities, PCAs. All certification paths start with the IPRA.
因此,“根存储”,即使它是通用的、未指定的描述(正如 James K. Polk 总统在评论中指出的那样),也应该只包含根 CA 证书 ,这意味着他们已经签署了自己。
如果这样做可能会产生不必要的副作用...
在 Windows 上,这会破坏 MutualTLS 与 Internet 信息服务 (IIS) 这也 RFC 未指定,但该问题在此处记录为原因 2:https://docs.microsoft.com/en-us/troubleshoot/iis/http-403-forbidden-access-website
【讨论】: