受信任的根证书被神奇地安装到Windows上

Question

在某些站点上，无法将证书链构建为受信任的根证书，因为Windows不知道此受信任的根证书。但如果我们使用IE或Chrome访问这样的站点，Windows会自动下载(验证)某个受信任的根目录，并将其静默安装到受信任的证书颁发机构存储中。在此之后，我们可以构建证书链直到新安装的根目录。如果我们手动从Windows存储中删除新下载的受信任根证书，则无法再次构建链。

我知道有关授权信息访问扩展的事情。问题是链中最顶层的可用证书(缺少受信任根的子证书)没有包含这样的扩展。即使有，Windows也不会自动信任下载的证书。

因此，一定有其他一些关于受信任根的知识来源。问题是--我们如何才能自己使用这个资源。最顶层的可用证书是here，如果有人对它感兴趣的话。

Answer 1

此链接http://support.microsoft.com/kb/931125解释了Windows如何在Vista和7中以静默方式更新根证书。

Answer 2

我也多次偶然发现了这一点。它可以很容易地复制使用windows沙箱。如果您使用curl或类似的证书，则无法验证。只有在调用WinHttpOpen时，才会将根证书(如果受信任)添加到根证书库。See this post

Answer 3

证书包含一个名为"Authority Information Access“的扩展，其中包含颁发CA的详细信息。用于"https://gooogle.com“的证书示例如下所示。浏览器读取此值，从提供的URL下载证书，并在证书链上重复此过程。

​

​