如果我使用 Iceweasel 22.0 访问某个网页,则会收到sec_error_unknown_issuer错误消息。当我检查 X.509v3 证书层次结构时,最顶层的证书是“DOD CA-28”。然而,“DOD CA-28”发行者的通用名称不是“DOD CA-28”本身,而是“DoD Root CA 2”:
为什么“DoD Root CA 2”没有列为证书层次结构中的顶级证书?我是否正确地认为这会破坏信任链,因此 Iceweasel 会显示sec_error_unknown_issuer错误?
答案1
服务器仅发送指向受信任根的证书,而不发送根证书本身(因为浏览器不能只信任从网络获取的任何内容)。在这种情况下,受信任的根可能是“DoD Root CA 2”,但这需要在浏览器中安装为受信任的。由于未安装,因此无法验证证书链,因此无法信任叶证书。
如果您想信任“DoD Root CA 2”,您必须获取其证书并将其作为受信任导入到您的浏览器中。完成后,证书验证应该会成功。