背景
一些 SSL 证书有两个证书路径。换句话说:信任链可以采用两条路径。我为一个路径安装了所有证书,但在一些旧设备上出现了 HTTPS 错误。我查了一下这是怎么发生的。我发现一些较旧的 Android 版本无法访问证书中包含的其他证书的链接。我修好了。
真正的问题
我真正的问题是:如何确定应用程序选择哪个认证路径?这背后的逻辑是什么?
SSL认证路径搭建
信息安全
证书
公钥基础设施
2021-09-07 06:17:47
1个回答
好像没有标准。对于微软的 CryptoAPI:
当计算机在证书验证过程中发现多个受信任的证书路径时,Microsoft CryptoAPI 通过计算每个链的分数来选择最佳证书路径。分数是根据证书路径可以提供的信息的质量和数量计算的。如果多个认证路径的分数相同,则选择最短的链。
这对我来说听起来很特别。此外,来自 2002 年PKI 论坛,2002 年,了解认证路径构建(感谢 @StackzOfZtuff 的参考):
认证路径构建过程尚未标准化,几乎没有公开的信息可以帮助实施者和产品评估者了解所涉及的复杂性。