为什么我不能在证书管理器中看到google的根证书？

Question

当我检查Google的证书(从浏览器)时，我注意到根证书是GTS Root R1。但是，我没有在证书管理器中看到这个根证书。

而对于microsoft.com或oracle.com，根证书分别是DigitCert Global Root G2和Digital Global Root CA。我可以在证书管理器中看到这两个根证书。

注意:对于Google证书，我通过在证书管理器中查找友好名称进行了验证。但无法在受信任的根存储下找到谷歌根证书。

尽管无法在证书管理器中看到google的根证书，为什么浏览器仍然显示与google的连接是安全的？

Answer 1

我不知道您使用的是哪个浏览器或操作系统，也不知道您访问的是哪个网站，但是：

根R1拥有自签名证书，但也有一个由全球之星 GlobalSign根CA颁发的证书，该证书是一个较老且受广泛信任的CA。(两个crt.sh链接在证书以及父和子CA部分中显示了这一点。)

如果我现在访问https://www.google.com/，我看到的证书链是：

1. www.google.com由GTS CA 1C3发布
2. GTS根R1发布的GTS CA 1C3
3. 根R1由GlobalSign根CA发布

如果GTS R1位于信任存储区中，则可以在此点进行短路验证并信任证书。如果不是，则可以验证GTS根R1证书(如果您信任GlobalSign根CA )。

如果谷歌不想依赖GlobalSign根CA，他们根本就不会提供链中的最后一个证书。

使用旧CA引导新CA的做法非常普遍，被称为交叉签名。

有时，一个新的CA从另一个有几个根的CA购买一个完整的根证书，并且能够以正确的价格将一个根证书分开--事实上，谷歌从GlobalSign那里收购了GlobalSign，但它在2021年到期了，他们不得不改用当前的解决方案。

谷歌当时在博客上提到了这一变化。

(P.S.自上世纪90年代以来，该行业经历了如此多的合并、收购和重组，以至于CA证书的名称和拥有该证书的公司的名称可能完全不同，即使证书本身从未直接换过手。)