如果我使用 Iceweasel 22.0 造訪某個網頁,就會收到sec_error_unknown_issuer錯誤訊息。當我檢查 X.509v3 憑證層次結構時,最頂層的憑證是「DOD CA-28」。然而,「DOD CA-28」發行者的通用名稱不是「DOD CA-28」本身,而是「DoD Root CA 2」:
為什麼「DoD Root CA 2」沒有列為憑證層次結構中的頂層憑證?我是否正確地認為這會破壞信任鏈,因此 Iceweasel 會顯示sec_error_unknown_issuer錯誤?
答案1
伺服器僅發送指向受信任根的證書,而不發送根證書本身(因為瀏覽器不能只信任從網路取得的任何內容)。在這種情況下,受信任的根可能是“DoD Root CA 2”,但這需要在瀏覽器中安裝為受信任的。由於未安裝,因此無法驗證憑證鏈,因此無法信任葉憑證。
如果您想信任“DoD Root CA 2”,您必須取得其憑證並將其作為受信任匯入到您的瀏覽器中。完成後,證書驗證應該會成功。