浏览器是否必须发出多个请求来验证SSL证书链？

Question

我已经了解到可以链接SSL证书，浏览器将使用颁发者的公钥来验证颁发者的签名。我读过这篇文章，它有一个非常有用的图表，但它没有回答我的具体问题。SSL证书框架101:浏览器如何实际验证给定服务器证书的有效性？

对于5级证书链，浏览器是否：

• 在一个请求中获取前4个证书到原始网站？
  • 它是4个单独的文件，还是包含所有4个证书的1个文件？

• 或者在处理每个证书(4个单独的请求)后一次获得一个证书？
  • 如果每个发行人来自不同的领域，浏览器是从4个不同的域获得证书，还是仅从原始网站获得证书？

• 还是其他方法？

Answer 1

服务器一次发送整个证书链，直到并可能包括根证书，作为服务器证书TLS握手消息的一部分：

certificate_list --这是一个证书序列(链)。发件人的证书必须放在列表的第一位。以下每一份证书必须直接证明其前面的证书。由于证书验证要求独立分发根密钥，因此可以从链中省略指定根证书颁发机构的自签名证书，前提是远程端必须已经拥有该证书才能在任何情况下对其进行验证。

它是从服务器到客户端的一个TCP消息(可能分为多个数据包，但由客户端在TCP堆栈上重新组装)。

客户端必须将根证书作为权威进行查询，而所有其他证书必须形成从叶到根的链接链。