Si visito una determinada página web con Iceweasel 22.0, recibo el sec_error_unknown_issuererror. Cuando verifico la jerarquía de certificados X.509v3, el certificado superior es "DOD CA-28". Sin embargo, el nombre común del emisor del "DOD CA-28" no es el "DOD CA-28" en sí, sino "DoD Root CA 2":
¿Por qué el "DoD Root CA 2" no aparece como el certificado superior en la jerarquía de certificados? ¿Estoy en lo cierto en que esto rompe la cadena de confianza y, por lo tanto, Iceweasel mostrará el sec_error_unknown_issuererror?
Respuesta1
El servidor envía sólo los certificados que conducen a la raíz confiable, no el certificado raíz en sí (porque el navegador no puede confiar en todo lo que obtiene de la red). La raíz confiable en este caso es probablemente "DoD Root CA 2", pero debe instalarse como confiable en el navegador. Debido a que no está instalada, la cadena de certificados no se puede verificar y, por lo tanto, no se puede confiar en el certificado hoja.
Si desea confiar en el "DoD Root CA 2", debe obtener su certificado e importarlo como confiable en su navegador. Una vez hecho esto, la validación de los certificados debería realizarse correctamente.