网站中的奇怪证书链
strange certificate chain in website
我是站点加密的新手,希望扩展我对证书的了解
在网上冲浪时,我偶然发现了 this site
在查看其 cert chain 时它看起来是合法的 :
但是...当我用它捕获我的 SSL handshake 时,其中一个证书丢失了:
我的问题是:
1)为什么浏览器会看到证书链深度为 3 的所有细节,而 Wireshark 却看不到?
2) root issuer 不是链的一部分怎么合法??
我已经使用 Chrome 和 Explorer
对其进行了测试
我在这里错过了什么?
how come browser sees cert chain depth 3 with all the details while Wireshark doesn't ?
浏览器显示本地存储的根 CA 的信任路径,包括此根 CA。 wireshark 显示了服务器发送的证书。虽然叶证书相同,但中间证书(和根证书)可能会有所不同,具体取决于浏览器已经信任的证书。
how is it legit the the root issuer is not part of the chain ??
证书验证的理念是您永远不会完全信任对等方,因为对等方可能会欺骗您。相反,您拥有一些本地 CA 证书(受信任的根证书),并从这些证书到服务器发送的叶证书构建信任链。只有建立了这个信任链,浏览器才会相信服务器证书是可信的。这意味着服务器不发送根证书不仅是合法的,而且如果服务器在链中包含根证书实际上是错误的。它应该不会有太大的危害,因为浏览器会简单地忽略这个无用的证书。
我是站点加密的新手,希望扩展我对证书的了解 在网上冲浪时,我偶然发现了 this site
在查看其 cert chain 时它看起来是合法的 :
但是...当我用它捕获我的 SSL handshake 时,其中一个证书丢失了:
我的问题是:
1)为什么浏览器会看到证书链深度为 3 的所有细节,而 Wireshark 却看不到?
2) root issuer 不是链的一部分怎么合法??
我已经使用 Chrome 和 Explorer
我在这里错过了什么?
how come browser sees cert chain depth 3 with all the details while Wireshark doesn't ?
浏览器显示本地存储的根 CA 的信任路径,包括此根 CA。 wireshark 显示了服务器发送的证书。虽然叶证书相同,但中间证书(和根证书)可能会有所不同,具体取决于浏览器已经信任的证书。
how is it legit the the root issuer is not part of the chain ??
证书验证的理念是您永远不会完全信任对等方,因为对等方可能会欺骗您。相反,您拥有一些本地 CA 证书(受信任的根证书),并从这些证书到服务器发送的叶证书构建信任链。只有建立了这个信任链,浏览器才会相信服务器证书是可信的。这意味着服务器不发送根证书不仅是合法的,而且如果服务器在链中包含根证书实际上是错误的。它应该不会有太大的危害,因为浏览器会简单地忽略这个无用的证书。