证书链-中间证书和根证书-是否需要安装？

Question

最近，我从comodo为我的域名orakoha.com购买了SSL证书。

在提交CSR等、域控制验证等之后，我得到了一个包含4个文件的压缩文件，我相信这些文件是我颁发的证书、中间ca证书和根证书。

1. www_orakoha_com.crt
2. COMODORSADomainValidationSecureServerCA.crt
3. COMODORSAAddTrustCA.crt
4. AddTrustExternalCARoot.crt (根证书)

我的问题如下

• 当浏览器访问我的站点(例如www.orakoha.com)时，下载我的证书，看到它没有颁发ca (中间ca的公钥)，它会自动从我的key服务器下载这些中间证书(例如COMODORSAAddTrustCA.crt)吗？或者它会提示终端用户(使用浏览器)是否要安装这些证书？
• 如果浏览器没有颁发中间证书/我的证书的根证书，会发生什么情况？我的cert服务器是否会发送根证书，浏览器将提示是否安装根证书？
• 如何查看浏览器中已经安装的根证书？

Answer 1

简而言之:中间证书必须在TLS握手(需要适当的服务器配置)内发送，只有客户端的CA本地才会被视为信任锚。

详细情况：

..。确保它没有颁发ca (中间ca的公钥)，它会自动从我的see服务器下载那些中间证书(例如COMODORSAAddTrustCA.crt)吗？

任何浏览器都不会从您的站点下载证书。如果TLS握手中缺少中间证书，一些浏览器可能会尝试从其他站点下载证书，但您不应该依赖它。桌面上的谷歌Chrome似乎能做到这一点，而其他浏览器则不然。

或者它会提示终端用户(使用浏览器)是否要安装这些证书？

不，不会有提示的。只是一个不能验证证书的错误。

..。我的cert服务器是否会发送根证书，浏览器将提示是否安装根证书？

不是的。如果浏览器信任服务器发送的任何随机根证书，那将是愚蠢的，因为这样，处于中间攻击的人就会很简单。即使是提示也不会有多大帮助，因为大多数用户只需通过他们不理解的任何对话框单击即可。浏览器只信任浏览器附带的CA或操作系统提供的CA，并显式安装CA。安装一个新的根更复杂，通常涉及用户显式下载、安装和信任CA证书。

如何查看浏览器中已经安装的根证书？

互联网上有很多关于这方面的信息。只需遵循搜索“查看根证书浏览器”的链接即可。注意，实际的方式取决于浏览器和操作系统。

Answer 2

首先，你应该阅读一下这个网站上最著名的问题：SSL/TLS是如何工作的？，对TLS有一个很好的理解将澄清你的许多问题。

回答你的问题：

当浏览器访问我的网站..。是否会提示终端用户(使用浏览器)是否要安装这些证书？

不，在浏览器中访问站点永远不会导致用户安装证书。当您在操作系统的信任存储中安装证书时，您说的是“我知道该证书的来源，并且我完全信任它”。我怎么可能相信我刚刚访问的某个随机网站给我的证书呢？我怎么知道我下载的证书实际上属于网站，而不是中间人攻击者？

b)如果浏览器没有颁发中间证书/我证书的根证书，会发生什么情况？

简单地说，证书将无法验证，浏览器将抛出愤怒的警告。

您的证书信任存储将填充由Google/Chrome、Mozilla/Firefox、Apple、Microsoft等的安全专家团队正确审查的根证书(这些证书被称为“固定证书”)。如果证书不是由受信任的根发出的，那么它是.不可信。安装随机根证书以绕过受信任的根基本上与禁用病毒扫描是一样的，因为它告诉您要打开的文件包含病毒。这些安全机制的存在是有原因的--听他们说！

( c)如何查看浏览器中已经安装的根证书？

在Chrome中，它在这里的设置中：(在其他浏览器中它在类似的地方)