3

在某些站点上,证书链无法建立到受信任的根证书,因为 Windows 不知道此受信任的根证书。但是,如果我们使用 IE 或 Chrome 访问此类站点,Windows 会自动在某处下载(验证)受信任的根,并将其静默安装到受信任的证书颁发机构存储中。在此之后,我们可以将证书链构建到新安装的根目录。如果我们手动从 Windows 存储中删除新下载的受信任根证书,则无法再次构建链。

我知道权威信息访问扩展。问题是链中最顶层的可用证书(缺少受信任根的孩子)没有包含这样的扩展。即使有,Windows 也不会自动信任下载的证书。

所以必须有一些关于可信根的其他知识来源。问题是 - 我们如何自己使用该资源。如果有人有兴趣检查它,可以在此处获得最上面的可用证书。

4

3 回答 3

3

此链接http://support.microsoft.com/kb/931125解释了 Windows 如何在 Vista 和 7 中静默更新根证书。

于 2012-10-09T23:43:48.630 回答
1

我也多次偶然发现这一点。它可以使用 Windows 沙箱轻松复制。如果使用 curl 或类似证书无法验证。只有当您调用 WinHttpOpen 时,才会将根证书(如果受信任)添加到根证书存储中。 看到这个帖子

于 2021-09-17T09:32:09.933 回答
0

证书包含一个名为“授权信息访问”的扩展,其中包含颁发 CA 的详细信息。用于“ https://gooogle.com ”的证书示例如下所示。浏览器读取此值,从提供的 URL 下载证书,并在证书链上重复该过程。

google.com AIA 扩展程序

于 2012-08-31T12:55:42.777 回答