web浏览器的SSL证书验证

Question

在理解Web浏览器的SSL证书验证时，我有点困惑。

​

​

查看我在firefox中看到的连接到google.com后的证书，它实际上在一个链中有三个证书：

1) GeoTrust全局CA --我猜这是根证书

2)谷歌互联网管理局G2

3) *.google.com

我知道，3是由2发出，2是由1. 1是自行发行.

因此，这意味着谷歌正在向浏览器发送证书链。浏览器如何验证这三个证书？

验证的顺序是3->2->1还是1->2->3？我不认为*.google.com会出现在火狐的可信证书列表中，因为它不能存储所有这些特定于网站的证书。

浏览器为建立证书的信任所做的确切计算是什么？

Answer 1

浏览器最初是使用一组信任锚(它信任的CA证书)设置的。这些内容可能取决于操作系统或安装。

这些信任锚之一是GeoTrust Global CA。

当连接到www.google.com时，服务器发送其证书链*.google.com和Google Internet Authority G2。然后浏览器验证*.google.com确实是由Google Internet Authority G2签名的。然后，它查找Google Internet Authority G2的发行者，并尝试将其与它所知道的一个信托锚(GeoTrust Global CA)的主题匹配。当找到匹配时，还会使用Google Internet Authority G2的公钥验证GeoTrust Global CA的签名。

除此之外，还有更多的内容:检查时间上的有效性和各种使用属性。