Se eu visitar uma determinada página da web com o Iceweasel 22.0, recebo o sec_error_unknown_issuererro. Quando verifico a hierarquia de certificados X.509v3, o certificado mais alto é "DOD CA-28". No entanto, o nome comum do emissor do "DOD CA-28" não é o "DOD CA-28" em si, mas "DoD Root CA 2":
Por que o "DoD Root CA 2" não está listado como o certificado principal na hierarquia de certificados? Estou certo de que isso quebra a cadeia de confiança e, portanto, o Iceweasel exibirá o sec_error_unknown_issuererro?
Responder1
O servidor envia apenas os certificados que levam à raiz confiável, e não o certificado raiz em si (porque o navegador não pode confiar em nada que obtenha da rede). A raiz confiável neste caso é provavelmente "DoD Root CA 2", mas precisa ser instalada como confiável no navegador. Como não está instalado, a cadeia de certificados não pode ser verificada e, portanto, o certificado folha não é confiável.
Se você quiser confiar no "DoD Root CA 2", você deve obter seu certificado e importá-lo como confiável para o seu navegador. Depois de fazer isso, a validação dos certificados deverá ser bem-sucedida.