Windowsでは、 この情報に従って、証明書信頼リスト-CTLを使用してルート証明書が更新されます。 記事から、これはローカルサーバーに証明書のリストをキャッシュするためのある種のローションであるとはいえ 、Microsoftによって署名されたauthrootstl.cabがあり 、Windowsは7から開始して無条件に信頼し、毎週更新することをお勧めしますKB3004394アップデートのインストール-毎日。
コンソール(MMC)では、信頼できない証明書を追加できますが、ルート証明書の削除はそれほど簡単ではありません。
WoSignとStartComの結合による最近のスキャンダルに触発され、Windows 7からいくつかの愚かな証明書を削除することにしました。Izenpe.com(06 e8 46 27 2f 1f 0a 8f d1 84 5c e3 69 f6 d5) 1。 しかし、そこにありました。 ルート証明書を削除し、Chrome 55.0.2883.87 mからhttps://www.izenpe.comにログインすると、証明書はサードパーティのルート認証局のリストに表示され、それに応じて信頼できるルート認証局のリストに表示されました。 これは、原則として期待されています。
Google Chromeは、いくつかの例外を除き、基盤となるオペレーティングシステムのルート証明書ストアを使用して、サイトによって提示されたSSL証明書が本当に信頼できるかどうかを判断しようとします。
https://www.chromium.org/Home/chromium-security/root-ca-policy
Firefox 50.1.0でトリックを繰り返しても機能しませんでした。ブラウザ内で証明書ストアを使用します。 Internet Explorer 11.0.9600.18163では、このトリックが繰り返されます。
犯人が見つかったようです。 しかし、いいえ、 https://opensource.apple.com/source/security_certificates/security_certificates-55036/roots/Izenpe-RAIZ2007.crtを取得し、暗号化シェル拡張を介して開きます。つまり、ダブルクリックします。
そして、証明書が信頼されていることがわかります。
どう? コンソールを開いて、不運な証明書が信頼できるルート認証局のリストにあることを確認します。
それとも、Windowsがすべての不明なルート証明書を信頼できるストレージにプルするのでしょうか? OpenSSLを取得し、ルート証明書を生成して開きます。 信頼できない。
そして、私はすでにgithubのCA証明書に署名できるように唇を広げました。 technetの記事で説明されているレジストリエントリはいずれもWindows 7またはWindows Server 2012のいずれにも既定では存在しませんが、レジストリやグループポリシー、またはグループポリシーには表示されない信頼できる証明書のハードコードされたリストがあることもわかります。管理コンソールで。