Если я захожу на определенную веб-страницу с помощью Iceweasel 22.0, то получаю ошибку sec_error_unknown_issuer. Когда я проверяю иерархию сертификатов X.509v3, то самым верхним сертификатом является "DOD CA-28". Однако, общее имя издателя "DOD CA-28" - это не сам "DOD CA-28", а "DoD Root CA 2":
Почему "DoD Root CA 2" не указан как верхний сертификат в иерархии сертификатов? Я прав, что это нарушает цепочку доверия, и поэтому Iceweasel выдаст ошибку sec_error_unknown_issuer?
решение1
Сервер отправляет только сертификаты, ведущие к доверенному корню, а не сам корневой сертификат (потому что браузер не может доверять всему, что получает из сети). Доверенным корнем в этом случае, вероятно, является "DoD Root CA 2", но его необходимо установить как доверенный в браузере. Поскольку он не установлен, цепочка сертификатов не может быть проверена, и, таким образом, конечный сертификат не может быть доверенным.
Если вы хотите доверять "DoD Root CA 2", вам нужно получить его сертификат и импортировать его как доверенный в ваш браузер. После того, как вы это сделаете, проверка сертификатов должна пройти успешно.