网站中的奇怪证书链

时间:2016-09-22 11:31:12

标签: ssl ssl-certificate

我是网站加密的新手,希望扩展我对证书的了解 在网上冲浪时,我偶然发现this site

在查看cert chain时看起来合法:

eset certificate chain web

但是......当我用它捕获SSL handshake时,其中一个证书丢失了: eset certificate chain Wsh

我的问题是: 1)为什么浏览器看到证书链深度3的所有细节而Wireshark没有? 2)root issuer不是链条的一部分是如何合法的?

我使用ChromeExplorer

对其进行了测试

我在这里失踪了什么?

1 个答案:

答案 0 :(得分:2)

  

为什么浏览器会看到具有所有细节的证书链深度3,而Wireshark却没有?

浏览器显示本地存储的根CA的信任路径,包括此根CA. wireshark显示了服务器发送的证书。虽然叶证书将是相同的,但中间证书(和根)可能会有所不同,具体取决于浏览器已经信任的证书。

  

根发行者不是合法的,它是如何合法的?

证书验证的想法是你永远不会完全信任同伴,因为同伴可能会骗你。相反,您有一些本地CA证书(受信任的根),并从这些证书构建信任链到服务器发送的叶证书。只有可以构建此信任链,浏览器才会认为服务器证书是可信任的。这意味着服务器不发送根证书不仅合法,而且如果服务器在链中包含根证书,则实际上是错误的。它不应该受到太大伤害,因为浏览器会忽略这个无用的证书。