Iceweasel 22.0 で特定の Web ページにアクセスすると、sec_error_unknown_issuerエラーが発生します。X.509v3 証明書階層を確認すると、最上位の証明書は「DOD CA-28」です。ただし、「DOD CA-28」の発行者の共通名は「DOD CA-28」そのものではなく、「DoD Root CA 2」です。
「DoD Root CA 2」が証明書階層の最上位の証明書としてリストされていないのはなぜですか? これにより信頼チェーンが壊れ、Iceweasel がエラーを表示するというのは正しいですかsec_error_unknown_issuer?
答え1
サーバーは、信頼されたルートにつながる証明書のみを送信し、ルート証明書自体は送信しません (ブラウザはネットワークから取得したものを何でも信頼できるわけではないため)。この場合の信頼されたルートはおそらく「DoD Root CA 2」ですが、これはブラウザで信頼できるものとしてインストールする必要があります。インストールされていないため、証明書チェーンを検証できず、リーフ証明書を信頼できません。
「DoD Root CA 2」を信頼したい場合は、その証明書を取得し、信頼できるものとしてブラウザにインポートする必要があります。これを行うと、証明書の検証が成功するはずです。