¿Por qué Chrome me dice que este certificado es válido cuando no se puede verificar?

9

Actualización: Ahora Chrome rechaza este sitio web por mí.

¿Parece que la confianza está en caché en alguna parte?
Supongo que esta pregunta no es tan interesante como pensé, pero sería bueno si alguien pudiera aclararla.

Pregunta original:

Deshabilité la actualización automática de certificados, eliminé el certificado raíz y reinicié mi computadora.

Sin embargo, Chrome aún confía en el certificado de este sitio , ¡aunque Windows lo encuentra no verificable !

¿Por qué diablos está pasando esto? Captura de pantalla:

    
pregunta Mehrdad 19.01.2017 - 21:01
fuente

2 respuestas

5

Parece un error informado . Alguien blogged al respecto.

    
respondido por el John Wu 20.01.2017 - 00:26
fuente
3

Asterisco: No tengo la respuesta a la pregunta. Pude reproducir el escenario del OP y estoy probando lo que podría estar sucediendo.

Comencé con una investigación básica sobre cómo los certificados son validados por los navegadores. Parece que cuando un sitio proporciona un certificado SSL y la parte superior de la ruta de certificación no es una CA raíz en el almacén de confianza, otros mecanismos parecen estar activados. El Protocolo de Validación de Certificados (SCVP) basado en servidor parece ser un mecanismo para Puente de esta "brecha" en la cadena de confianza. El artículo de wikipedia en SCVP parece decir lo siguiente:

  

CAPI es capaz de crear rutas de certificación utilizando cualquier certificado que se instale en los almacenes de certificados de Windows o que proporcione la aplicación del usuario de confianza. El certificado de CA de Equifax, por ejemplo, viene instalado en Windows como un certificado de confianza. Si CAPI conoce el certificado ACME Co CA o si está incluido en un correo electrónico firmado y está disponible para CAPI por Outlook, CAPI puede crear la ruta de certificación anterior. Sin embargo, si CAPI no puede encontrar el certificado ACME Co CA, no tiene forma de verificar que el usuario Joe sea de confianza.   SCVP nos proporciona un protocolo cliente-servidor basado en estándares para resolver este problema mediante el uso de Detección de ruta delegada o DPD. Cuando se utiliza DPD, un usuario de confianza solicita a un servidor una ruta de certificación que satisfaga sus necesidades.

Nota: CAPI significa Interfaz de programación de aplicaciones criptográficas. Más detalles en el artículo de Wiki.

Mi puñalada en la oscuridad: Chrome está usando SCVP (o similar) para validar el certificado cuando el certificado raíz ya no está presente en el almacén de certificados de Windows. Ahora, existe la posibilidad de que me equivoque y que SCVP sea puramente para mecanismos de revocación de certificados como OCSP , pero no solo porque OSCP con Chrome desactivado en 2012 y probablemente no use SCVP para las revisiones de revocación.

    
respondido por el katrix 19.01.2017 - 22:05
fuente

Lea otras preguntas en las etiquetas