Доверенный корневой сертификат волшебным образом установлен в Windows

На некоторых сайтах цепочка сертификатов не может быть построена на доверенном корневом сертификате, поскольку этот доверенный корневой сертификат не известен Windows. Но если мы посещаем такой сайт с помощью IE или Chrome, Windows автоматически загружает (проверяет) доверенный корень куда-то и молча устанавливает его в хранилище доверенных центров сертификации. После этого мы можем построить цепочку сертификатов до только что установленного корня. Если мы вручную удалим недавно загруженный доверенный корневой сертификат из хранилища Windows, цепочка не сможет быть построена снова.

Я знаю о расширении доступа к авторитетной информации. Проблема в том, что самый верхний доступный сертификат в цепочке (дочерний элемент отсутствующего доверенного корня) НЕ имеет такого расширения. И даже если бы это было так, Windows не стала бы автоматически доверять загруженному сертификату.

Значит, должен быть какой-то другой источник знаний о доверенных корнях. Вопрос в том, как мы можем использовать этот источник сами. Самый верхний доступный сертификат доступен здесь, если кто-то заинтересован в его проверке.


x509 digital-certificate
person Eugene Mayevski 'Callback    schedule 25.08.2012    source источник

Ответы (2)


arrow_upward
2
arrow_downward

По этой ссылке http://support.microsoft.com/kb/931125 объясняется, как Windows обновляет корневые сертификаты. тихо в Висте и 7.

person José    schedule 09.10.2012

arrow_upward
0
arrow_downward

Сертификаты содержат расширение под названием «Доступ к информации об органах власти», которое содержит сведения о выдающем ЦС. Пример сертификата, используемого для "https://gooogle.com", показан ниже. Браузер считывает это значение, загружает сертификат с предоставленного URL-адреса и повторяет процесс вверх по цепочке сертификатов.

Расширение Google.com AIA

person akton    schedule 31.08.2012
comment
В вопросе я упомянул, что (а) мы используем это расширение, (б) такое расширение отсутствует в рассматриваемом сертификате и (в) даже если бы оно присутствовало, ни Windows, ни какое-либо другое программное обеспечение не доверяло бы сертификату, на который ссылается расширение. Тем временем Windows загружает сертификат и устанавливает его в доверенные корни. Это означает, что Windows использует не расширение AIA, а какой-то другой источник знаний. - person Eugene Mayevski 'Callback; 31.08.2012
comment
Прошу прощения за неправильное толкование вашего вопроса. Вы упомянули расширение информации о полномочиях субъекта, и я не был уверен, какое из них вы имели в виду. Насчет того, что его нет в самом верхнем промежуточном ЦС и он до сих пор работает, я не знаю ответа. Если я узнаю, я дам вам знать. - person akton; 31.08.2012
comment
Кто знает, о чем я думал, когда писал название расширения... Спасибо, что заметили это, я обновил вопрос. - person Eugene Mayevski 'Callback; 31.08.2012