Iceweasel 22.0を使用してWebページにアクセスすると、sec_error_unknown_issuerエラーメッセージが表示されます。 X.509v3 証明書階層を見ると、最上位証明書は「DOD CA-28」です。ただし、「DOD CA-28」発行者の一般名は「DOD CA-28」自体ではなく、「DoD Root CA 2」です。
「DoD Root CA 2」が証明書階層の最上位証明書としてリストされないのはなぜですか。これは信頼チェーンを壊し、したがってIceweaselがsec_error_unknown_issuerエラーを表示すると思うのは正しいですか?
ベストアンサー1
サーバーは、ルート証明書自体ではなく、信頼できるルートを指す証明書のみを送信します(ブラウザはネットワークから取得したすべてを信頼できないため)。この場合、信頼できるルートは「DoD Root CA 2」ですが、ブラウザでは信頼できるルートとしてインストールする必要があります。インストールされていないため、証明書チェーンを確認できないため、リーフ証明書を信頼できません。
「DoD Root CA 2」を信頼するには、その証明書をインポートして信頼できるブラウザにインポートする必要があります。完了すると、証明書の確認が成功する必要があります。