Chrome確認できないときにこの証明書が有効であることを通知するのはなぜですか?
更新:NowChromeこのWebサイトを拒否します。
信頼はどこかにキャッシュされているようですか?
この質問は思ったほど面白くないと思いますが、誰かがそれを明確にできればいいですね。
元の質問:
証明書の自動更新を無効にし、ルート証明書を削除して、コンピューターを再起動しました。
まだChromeは、Windowsが証明書を見つけたとしても このサイト からの証明書を信頼しています検証不能!
なぜ世界でこれが起こっているのですか?スクリーンショット:
アスタリスク:質問に対する答えがありません。 OPのシナリオを再現することができ、何が起こっているのか発生する可能性があるを突き刺しています。
私は、ブラウザーが証明書を検証する方法についての基本的な掘り下げから始めました。サイトがSSL証明書を提供し、証明書パスの先頭がトラストストアのルートCAでない場合、他のメカニズムが作動しているようです。サーバーベースの証明書検証プロトコル(SCVP)は、トラストチェーンでこの「ギャップ」を埋めます。 SCVPの wikipedia記事 は次のように言っているようです-
CAPIは、Windows証明書ストアにインストールされている証明書、または証明書利用者アプリケーションによって提供される証明書を使用して、証明書パスを構築できます。たとえば、Equifax CA証明書は、信頼できる証明書としてWindowsにインストールされています。 CAPIがACME Co CA証明書を知っている場合、または署名された電子メールに含まれていて、OutlookによってCAPIで利用できる場合、CAPIは上記の認証パスを作成できます。ただし、CAPIがACME Co CA証明書を見つけられない場合、Joeユーザーが信頼されていることを確認する方法はありません。 SCVPは、Delegated Path Discovery(DPD)を使用してこの問題を解決するための標準ベースのクライアントサーバープロトコルを提供します。 DPDを使用する場合、証明書利用者は、サーバーのニーズを満たす証明パスをサーバーに要求します。
注:CAPIは、Cryptographic Application Programming Interfaceの略です。詳しくはWikiの記事をご覧ください。
暗闇の中で私の刺し傷:Chromeは、ルート証明書がWindows証明書ストアに存在しなくなりました。今、私は間違っている可能性があり、SCVPは [〜#〜] ocsp [〜#〜] のような証明書失効メカニズム用ですが、単に 2012年にChromeがOSCPを無効にした であり、おそらく失効チェックにSCVPを使用しないからではありません。