À quelles autorités de certification fait confiance Internet Explorer?

Question

À quelles autorités de certification les navigateurs font-ils confiance par défaut? Est-ce que ceux-ci diffèrent entre Internet Explorer, Firefox, Chrome, Safari ... et y at-il quelque part, vous pouvez le voir? Ou est-ce simplement si c'est une autorité de certification que les navigateurs lui font confiance et si elle est auto-signée, les navigateurs ne le font pas? Si c'est le cas, pourquoi certaines entreprises fournissent-elles des certificats SSL gratuits?

Answer 1

Vous devriez être en mesure de trouver les politiques et les membres des listes pour Windows/IE à partir des liens suivants:

• http://support.microsoft.com/kb/931125
• http://social.technet.microsoft.com/wiki/contents/articles/windows-root-certificate-program-members.aspx

De plus, voici quelques liens pour d'autres navigateurs/systèmes d'exploitation:

• http://www.mozilla.org/projects/security/certs/included/
• http://www.apple.com/certificateauthority/

Cela dit, ce sont les listes par défaut fournis avec le logiciel. Il est généralement possible pour les administrateurs système de modifier cette liste (pour ajouter de nouveaux certificats d'autorité de certification dans un environnement d'entreprise, par exemple). Dans IE, si vous allez dans les options Internet, vous devriez être en mesure de vérifier la liste des autorités de certification racine et les autorités de certification intermédiaires. D'autres navigateurs ont également des options similaires. Une légère exception à cela est pour les certificats EV, où les signatures sont codées en dur dans les navigateurs pour qu'ils soient reconnus en tant que CA EV (bien que je pense que l'AC doit également être dans la liste de confiance, pas seulement codé en dur pour être activé EV).

Answer 2

Comme vous l'avez indiqué, tous les certificats ne sont pas reconnus par défaut, en particulier les moins chers. Donc, ceux-ci sont plus appropriés pour les applications intranet, etc. et le débogage. Pour les sites Web en direct, vous devez vraiment vous assurer qu'ils sont pris en charge, sinon vos utilisateurs recevront un avertissement moche. En ce qui concerne votre question sur self signing vs certificate authorities etc, non ce n'est pas le cas.