2
在某些站点上,证书链无法构建到受信任的根证书,因为Windows不知道此受信任的根证书。但是,如果我们使用IE或Chrome访问此类网站,Windows会自动下载(验证)某个地方的受信任根,并将其静默安装到受信任的证书颁发机构存储中。在此之后,我们可以构建证书链直至新安装的根。如果我们手动从Windows存储中删除新下载的受信任根证书,则无法再重新构建链。受信任的根证书奇迹般地安装到Windows
我知道权限信息访问扩展。问题是链中最高的可用证书(缺少可信根的孩子)没有包含这样的扩展名。即使有,Windows也不会自动信任下载的证书。
因此,必须有一些关于可信根的其他知识来源。问题是 - 我们如何自己使用这个来源。如果任何人有兴趣检查,最高可用证书可用here。
我的问题是:(a)我们使用这个扩展,(B)有存在没有这样的扩展提到(c)即使它存在,Windows和任何其他软件都不会信任该扩展所引用的证书。同时Windows下载证书并将其安装到受信任的根目录。这意味着,Windows不使用AIA扩展,而是使用其他知识源。 –
我很抱歉误解你的问题。你提到了“Subject Authority Information”的扩展名,我不确定你的意思。至于它从最顶级的中间CA中缺席,它仍然在工作,我不知道答案。如果我知道,我会让你知道的。 – akton
谁知道我在写扩展名时想到了什么......感谢您注意到这一点,我已经更新了这个问题。 –