Несоответствие сертификата SSL CA в представлении браузера и представлении ОС
Я перешел на сайт www.flipkart.com и просмотрел цепочку сертификатов. Существовали два промежуточных сертификата, а именно Центр сертификации Go Daddy Secure - G2 и Корневой центр сертификации Go Daddy - G2 и корневой сертификат, а именно Центр сертификации Go Daddy Class 2.
Я заметил, что корневой сертификатный центр Go Daddy - G2 был подписан сертификационным центром Go Daddy Class 2. Теперь я пошел в свое системное хранилище сертификатов и увидел, что Root Certificate Authority Go Daddy - G2 был самоподписанным (то есть находился в корневом хранилище).
Как это произошло? Я не обновлен? Когда я просматривал веб-сайт, казалось, что он был подписан другим центром сертификации, но когда я просматривал магазин, он показывает себя подписанным?
Скриншот сертификата Go Daddy Root Certificate Authority - G2 взят из Flipkart: Скриншот сертификата Flipkart
Снимок экрана с сертификатом Go Daddy Root Certificate Authority - G2, взятый из магазина Windows: скриншот Магазина Windows
Теперь, если вы заметили, серийный номер одного и того же сертификата отличается в представлении браузера и представлении системы
2 ответа
Одно и то же общее имя и ключ могут использоваться в разных файлах сертификатов, чтобы предлагать несколько путей сертификации:
Путь 1 (ваш браузер учел этот путь, потому что сервер отправил это промежуточное звено)
- Сертификат сайта, подписанный:
Go Daddy Secure Certificate Authority - G2, подписано:Go Daddy Root Certificate Authority - G2, подписано:Go Daddy Class 2 Certification Authority, самоподписанный, в трастовом магазине
Поскольку эта цепочка связывает сертификат веб-сайта с доверенным центром сертификации в хранилище, сертификат веб-сайта можно доверять.
Путь 2 (он находится в вашем системном хранилище сертификатов, ваш браузер также может это проверить)
- Сертификат сайта, подписанный:
Go Daddy Secure Certificate Authority - G2, подписано:Go Daddy Root Certificate Authority - G2, самоподписанный, в трастовом магазине
Поскольку эта цепочка связывает сертификат веб-сайта с доверенным центром сертификации в хранилище, сертификат веб-сайта можно доверять.
В этом случае оба пути принимаются всеми популярными браузерами.
Наличие двух отдельных путей в зависимости от хранилища сертификатов (системы и / или браузера) не является признаком вредоносной активности. Иногда множественные, иногда изменяющиеся пути сертификации используются по ряду бюрократических и технических причин в ландшафте ЦС. Люди, которые работают в браузере или поддерживают хранилища корневых сертификатов (Mozilla, Microsoft,...), очень стараются учитывать все последствия этого.
Примечание. Ваш пример веб-сайта также предлагает самозаверяющий сертификат класса 2 для браузера. Это не полезно для типичных браузеров, потому что они уже есть, но это также не повредит (кроме причинения ненужного трафика).
Я думаю, что это ожидаемое поведение:
Сертификат корневого центра сертификации будет самоподписанным, поскольку он является доверенной третьей стороной для проверки других объектов. Однако если они скомпрометированы, их Root CA больше не будет действительным. Посмотрите на детали сертификата, который он должен сообщить вам, когда он истечет. Это верный признак того, что ваши сертификаты обновлены в вашем местном магазине CA.
присоединять
На основании вашего комментария я немного покопался:
https://certdb.com/domain/godaddy.com
Оба сертификата действительны. Вы можете сказать по действительным с и по действительным датам. Что касается вашего запроса о разных эмитентов. Я полагаю, у них разные классы и уровни сертификатов. В зависимости от того, какой сертификат выдается промежуточному ЦС или организации, будет зависеть от эмитента Go Daddy.
Один, я думаю, выше с точки зрения цепи. Один из Flipkart, я думаю, тот, что ниже в их цепочке сертификатов.