Wenn ich eine bestimmte Webseite mit Iceweasel 22.0 besuche, erhalte ich den sec_error_unknown_issuerFehler. Wenn ich die X.509v3-Zertifikatshierarchie überprüfe, ist das oberste Zertifikat „DOD CA-28“. Der allgemeine Name des Ausstellers von „DOD CA-28“ ist jedoch nicht „DOD CA-28“ selbst, sondern „DoD Root CA 2“:
Warum wird „DoD Root CA 2“ nicht als oberstes Zertifikat in der Zertifikatshierarchie aufgeführt? Habe ich Recht, dass dies die Vertrauenskette unterbricht und Iceweasel daher den sec_error_unknown_issuerFehler anzeigt?
Antwort1
Der Server sendet nur die Zertifikate, die zur vertrauenswürdigen Root führen, nicht das Root-Zertifikat selbst (da der Browser nicht einfach allem vertrauen kann, was er aus dem Netzwerk erhält). Die vertrauenswürdige Root ist in diesem Fall wahrscheinlich „DoD Root CA 2“, aber diese muss im Browser als vertrauenswürdig installiert werden. Da sie nicht installiert ist, kann die Zertifikatskette nicht überprüft werden und somit kann dem Blattzertifikat nicht vertraut werden.
Wenn Sie der „DoD Root CA 2“ vertrauen möchten, müssen Sie deren Zertifikat abrufen und als vertrauenswürdig in Ihren Browser importieren. Danach sollte die Validierung der Zertifikate erfolgreich sein.