Dans quels magasins de certificats les navigateurs recherchent-ils le certificat de confiance, lorsqu'ils le comparent à celui qu'ils reçoivent lors de la connexion au serveur https
(windows)?Navigateurs et magasin de certificats
Répondre
Vous avez besoin du certificat de l'autorité de certification racine dans le magasin racine approuvé utilisé par le navigateur concerné. Voici une page d'une simple recherche Google qui peut aider: https://help.riseup.net/security/certificates/import/
Le navigateur ne pas besoin de trouver le certificat du serveur ici. Ce qui doit être installé dans ce magasin est le certificat CA racine qui a signé le certificat du serveur (ou chaîne de certificats).
Par exemple, si le serveur a un certificat S et que S est signé par "MY-ROOT-CA ", alors MY-ROOT-CA doit être installé dans le magasin racine de confiance. Si le certificat du serveur S est signé par une autorité de certification intermédiaire "SOME-CA" et que SOME-CA est signé par MY-ROOT-CA, seul MY-ROOT-CA doit être installé sur la machine du navigateur dans le magasin racine approuvé.
Si S est signé par SOME-CA, SOME-CA peut également devoir être installé quelque part sur l'ordinateur du navigateur, mais pas nécessairement dans le magasin racine approuvé. Dans ce cas, le serveur peut envoyer à la fois S et SOME-CA et peut même envoyer MY-ROOT-CA. Quelle que soit la longueur de cette chaîne de certificats, chaque lien de la chaîne doit être envoyé par le serveur ou présent sur la machine locale, mais la dernière version de MY-ROOT-CA doit toujours être installée et dans le magasin racine approuvé .
- 1. Magasin de certificats Windows
- 2. Où est passé mon magasin de certificats?
- 3. OpenSSL SSL_CTX_use_PrivateKey_file avec le magasin de certificats Windows
- 4. Sn.exe peut-il utiliser le magasin de certificats Windows?
- 5. Webservice Security et certificats Windows
- 6. WinHttp: Comment utiliser un magasin de certificats temporaire?
- 7. Equivalent Linux pour le magasin de certificats Windows
- 8. java HttpsURLConnection et envoi de certificats client
- 9. SSL et certificats
- 10. Certificats SSO et SSL
- 11. Utilisation de HttpClient avec SSL et certificats
- 12. selfhosting serveur WCF - certificat de charge du fichier au lieu de magasin de certificats
- 13. Certificats IIS7 et X.509: connexion d'asp.net à un service Web - où stocker les certificats?
- 14. Certificats de SmartCard en C#
- 15. Certificats .NET (C#)
- 16. Vérification du certificat auprès du magasin de certificats Java via l'interface de ligne de commande
- 17. Comment accéder par programme au magasin de certificats de confiance iPhone?
- 18. Utilisation du magasin de certificats "Compte de service" avec .NET 2.0 HttpWebRequest
- 19. Puis-je utiliser un X509Certificate2 dans ASP.NET sans utiliser de magasin de certificats?
- 20. Accès au magasin de certificats personnels de l'utilisateur actuel dans le service Windows
- 21. Importer un certificat en silence dans un magasin de certificats spécifique
- 22. Certificats ssl Silverlight et wildcard
- 23. Méthodes d'ajout d'un certificat au magasin de certificats à partir d'un script
- 24. Authentification MQ Websphere et certificats de clé
- 25. Navigateurs et Windows Messaging
- 26. Navigateurs Linux et VBScript
- 27. PKCS12 Certificats
- 28. Problèmes avec les certificats httpclient et selfsigned
- 29. Sécurité de transport WCF/MSMQ avec certificats
- 30. Authentification basée sur les certificats et IP
La seule partie de cette réponse qui n'est pas vraie est l'exigence que le certificat public émetteur doit être dans le magasin de certificats. En fait, il peut s'agir de * tout * certificat dans la chaîne d'émission, y compris le certificat public du site (S) lui-même. Une fois qu'un certificat de la chaîne d'émission est découvert dans le magasin racine approuvé, l'approbation est établie et la recherche s'arrête. seule la révocation peut arrêter la confiance à ce moment-là. Pour l'exemple ci-dessus, S dans le magasin racine de confiance établit la confiance que le même était SA (l'émetteur de S) fait si elle est dans le magasin. – WhozCraig
@WhozCraig: Cela dépend de l'implémentation TLS que vous utilisez. OpenSSL ne vérifie pas le certificat à moins que l'autorité de certification racine ne soit dans le magasin de confiance. La présence d'une autorité de certification subordonnée dans le magasin de confiance ne suffit pas. –