SSL认证路径构建

Question

背景

一些SSL证书有两个证书路径。换句话说，信任链可以采取两条路径。我为一个路径安装了所有证书，但在一些旧设备上出现了HTTPS错误。我查了一下这是怎么发生的。我发现一些较旧的Android版本无法跟踪到证书中包含的另一个证书的链接。我修好了。

真题

我真正的问题是:如何确定应用程序所选择的认证路径？这背后的逻辑是什么？

Answer 1

似乎没有什么标准。微软的密码学：

当计算机在证书验证过程中发现多个受信任的证书路径时，Microsoft CryptoAPI将通过计算每个链的得分来选择最佳的证书路径。分数是根据证书路径可以提供的信息的质量和数量计算的。如果多个认证路径的得分相同，则选择最短链。

对我来说这听起来很特别。另外，来自2002年的PKI论坛，2002年年，了解证书路径建设 (感谢@StackzOfZtuff作为参考)：

认证路径构建过程还没有标准化，而且很少有公开的信息可以帮助实现者和产品评估人员理解所涉及的复杂性。