我导航至www.flipkart.com并查看了其证书链。有两个中间证书,即Go Daddy 安全证书颁发机构 - G2和 Go Daddy 根证书颁发机构 - G2和根证书即Go Daddy 2 级认证机构。
我观察到Go Daddy 根证书颁发机构 - G2签署人Go Daddy 2 级认证机构。现在我去了我的系统证书存储区并看到 Go Daddy 根证书颁发机构 - G2 是自签名的(意味着它在根存储下)。
这是怎么回事?难道我没有更新吗?当我浏览网站时,它看起来像是由另一个 CA 签名的,但当我通过商店查看时,它显示为自签名?
证书截图Go Daddy 根证书颁发机构 - G2摘自 Flipkart:Flipkart 证书截图
证书截图Go Daddy 根证书颁发机构 - G2取自 Windows 商店:Windows 应用商店屏幕截图
现在如果你注意到,相同证书的序列号在浏览器视图和系统视图中是不同的
答案1
相同通用名称并且密钥可以用于不同的证书文件中,以提供多种认证路径:
路径 1(您的浏览器认为此路径,因为服务器发送了该中间件)
- 网站证书,由以下人员签署:
Go Daddy Secure Certificate Authority - G2, 被...签名:Go Daddy Root Certificate Authority - G2, 被...签名:Go Daddy Class 2 Certification Authority,自签名,在信任库中
由于此链将网站证书链接到商店中受信任的 CA,因此该网站证书是值得信赖的。
路径 2(这在您的系统证书存储中,您的浏览器也可以验证这一点)
- 网站证书,由以下人员签署:
Go Daddy Secure Certificate Authority - G2, 被...签名:Go Daddy Root Certificate Authority - G2,自签名,在信任库中
由于此链将网站证书链接到商店中受信任的 CA,因此该网站证书是值得信赖的。
在这种情况下,所有流行的浏览器都接受这两条路径。
基于您的证书存储(系统和/或浏览器)的两条单独路径的可用性并不表示恶意活动。在 CA 领域,出于一些官僚和技术原因,有时会使用多个、有时会更改的认证路径。从事浏览器或维护根证书存储(Mozilla、Microsoft 等)的人员非常谨慎地考虑这种情况的所有影响。
注意:您的示例网站也向浏览器提供了自签名的“2 类”证书。它对典型的浏览器没有用,因为它们已经拥有它,但它也没有坏处(除了造成不必要的流量)。
答案2
我认为这是预期的行为:
根 CA 证书将自签名,因为它们是用于验证其他实体的受信任的第三方。但是,如果它们受到威胁,其根 CA 将不再有效。查看证书的详细信息,它应该会告诉您证书何时到期。这是您本地 CA 存储中的证书是最新证书的真正标志。
附加
根据您的评论,我做了一些挖掘:
https://certdb.com/domain/godaddy.com
两个证书都是有效的。您可以通过有效期开始日期和有效期结束日期来判断。至于您对不同颁发者的询问。我想他们有不同类别和级别的证书。根据颁发给中介 CA 或实体的证书,将取决于 Go Daddy 颁发者。
我认为其中一个证书链更高。我认为 Flipkart 的证书链较低。