Dans quels magasins de certificats les navigateurs recherchent-ils le certificat de confiance, lorsqu'ils le comparent à celui qu'ils reçoivent lors de la connexion au serveur https (windows)?Navigateurs et magasin de certificats
Vous avez besoin du certificat de l'autorité de certification racine dans le magasin racine approuvé utilisé par le navigateur concerné. Voici une page d'une simple recherche Google qui peut aider: https://help.riseup.net/security/certificates/import/
Le navigateur ne pas besoin de trouver le certificat du serveur ici. Ce qui doit être installé dans ce magasin est le certificat CA racine qui a signé le certificat du serveur (ou chaîne de certificats).
Par exemple, si le serveur a un certificat S et que S est signé par "MY-ROOT-CA ", alors MY-ROOT-CA doit être installé dans le magasin racine de confiance. Si le certificat du serveur S est signé par une autorité de certification intermédiaire "SOME-CA" et que SOME-CA est signé par MY-ROOT-CA, seul MY-ROOT-CA doit être installé sur la machine du navigateur dans le magasin racine approuvé.
Si S est signé par SOME-CA, SOME-CA peut également devoir être installé quelque part sur l'ordinateur du navigateur, mais pas nécessairement dans le magasin racine approuvé. Dans ce cas, le serveur peut envoyer à la fois S et SOME-CA et peut même envoyer MY-ROOT-CA. Quelle que soit la longueur de cette chaîne de certificats, chaque lien de la chaîne doit être envoyé par le serveur ou présent sur la machine locale, mais la dernière version de MY-ROOT-CA doit toujours être installée et dans le magasin racine approuvé .
La seule partie de cette réponse qui n'est pas vraie est l'exigence que le certificat public émetteur doit être dans le magasin de certificats. En fait, il peut s'agir de * tout * certificat dans la chaîne d'émission, y compris le certificat public du site (S) lui-même. Une fois qu'un certificat de la chaîne d'émission est découvert dans le magasin racine approuvé, l'approbation est établie et la recherche s'arrête. seule la révocation peut arrêter la confiance à ce moment-là. Pour l'exemple ci-dessus, S dans le magasin racine de confiance établit la confiance que le même était SA (l'émetteur de S) fait si elle est dans le magasin. – WhozCraig
@WhozCraig: Cela dépend de l'implémentation TLS que vous utilisez. OpenSSL ne vérifie pas le certificat à moins que l'autorité de certification racine ne soit dans le magasin de confiance. La présence d'une autorité de certification subordonnée dans le magasin de confiance ne suffit pas. –