Le certificat racine de confiance est installé par magie sur Windows

Question

Sur certains sites, la chaîne de certificats ne peut pas être créée pour le certificat racine approuvé car ce certificat racine approuvé n'est pas connu de Windows. Mais si nous visitons un tel site en utilisant IE ou Chrome, Windows télécharge (vérifie) la racine de confiance quelque part et l'installe silencieusement dans le stockage des autorités de certification de confiance. Après cela, nous pouvons construire la chaîne de certificats jusqu'à la racine nouvellement installée. Si nous supprimons manuellement le certificat racine approuvé nouvellement téléchargé du stockage Windows, la chaîne ne peut pas être générée à nouveau.

Je connais l'extension Authority Information Access. Le problème est que le certificat le plus haut disponible dans la chaîne (l'enfant de la racine de confiance manquante) n'a pas cette extension incluse. Et même si c'était le cas, Windows ne ferait pas automatiquement confiance au certificat téléchargé.

Il doit donc y avoir une autre source de connaissances sur les racines de confiance. La question est - comment pouvons-nous utiliser cette source nous-mêmes. Le certificat le plus haut disponible est disponible here si quelqu'un est intéressé à l'inspecter.

Answer 1

Ce lien http://support.microsoft.com/kb/931125 explique comment Windows met à jour les certificats racine silencieusement dans Vista et 7.

Answer 2

Les certificats contiennent une extension appelée "Authority Information Access" qui contient les détails de l'autorité de certification émettrice. Un exemple du certificat utilisé pour "https://gooogle.com" est illustré ci-dessous. Le navigateur lit cette valeur, télécharge le certificat à partir de l'URL fournie et répète le processus dans la chaîne de certificats.