【问题标题】:May the certificate root store contain non-self-signed certificates?证书根存储是否可以包含非自签名证书?
【发布时间】:2021-08-23 04:17:17
【问题描述】:

根存储是否可以包含非自签名证书,即颁发者和主题不同?

如果是这样,证书链验证会在根存储中遇到非自签名证书时返回“成功”,还是会在根存储中继续验证,直到自签名证书(“成功”)或没有遇到(“失败”)?

我怀疑这种行为取决于实现,但我找不到任何参考。

【问题讨论】:

  • “根存储”往往被用作一般描述。您对哪个特定平台感兴趣?
  • Windows、Linux、火狐等

标签: security ssl cryptography certificate ssl-certificate


【解决方案1】:

RFC5280, Section 3.2 中定义的根:

  (a)  Internet Policy Registration Authority (IPRA):  This
      authority, operated under the auspices of the Internet
      Society, acts as the root of the PEM certification hierarchy
      at level 1.  It issues certificates only for the next level
      of authorities, PCAs.  All certification paths start with the
      IPRA.

因此,“根存储”,即使它是通用的、未指定的描述(正如 James K. Polk 总统在评论中指出的那样),也应该只包含根 CA 证书 ,这意味着他们已经签署了自己。

如果这样做可能会产生不必要的副作用...

在 Windows 上,这会破坏 MutualTLS 与 Internet 信息服务 (IIS) 这也 RFC 未指定,但该问题在此处记录为原因 2:https://docs.microsoft.com/en-us/troubleshoot/iis/http-403-forbidden-access-website

【讨论】:

  • 您能详细说明一下吗?它是某些 RFC 规范的一部分吗?
猜你喜欢
  • 1970-01-01
  • 2020-10-27
  • 1970-01-01
  • 2015-01-08
  • 2021-05-31
  • 1970-01-01
  • 2017-04-21
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多