Internet Explorer信任哪些证书颁发机构？

Question

默认情况下，浏览器信任哪些证书颁发机构？这些在internet explorer，firefox，chrome，safari之间有区别吗？有没有你能看到这个的地方？或者仅仅是如果它是一个证书颁发机构，浏览器信任它，如果它是自签名的，浏览器就不信任它？如果是这样，为什么有些公司会提供免费的ssl证书呢？

Answer 1

您应该能够从以下链接中找到Windows/IE的策略和成员列表：

• http://support.microsoft.com/kb/931125
• http://social.technet.microsoft.com/wiki/contents/articles/windows-root-certificate-program-members.aspx

此外，以下是其他浏览器/操作系统的一些链接：

• http://www.mozilla.org/projects/security/certs/included/
• http://www.apple.com/certificateauthority/

这就是说，这些是软件提供的默认列表。系统管理员通常可以更改此列表(例如，用于在公司环境中添加新的CA证书)。在IE中，如果您进入internet选项，您应该能够检查根CA和中间CA的列表。其他浏览器也有类似的选项。

对于EV证书来说，这是一个轻微的例外，其中签名是在浏览器中硬编码的，以便它们被识别为EV CA (尽管我认为CA也需要在受信任列表中，而不仅仅是硬编码以启用EV )。

Answer 2

正如您所说的，并不是每个证书都是默认识别的，特别是较便宜的证书。因此，它们更适合于intranet应用程序等调试。对于Live网站，你真的需要确保它们是受支持的，否则你的用户将会看到一个丑陋的警告。

至于你关于self signing和certificate authorities的问题，不，事实并非如此。