Da dove viene l'elenco delle autorità di contenuto attendibili quando si utilizza un browser Web?

1

Mi è stato chiesto "come fanno i browser a sapere se fidarsi o meno del certificato dal server a cui si sta collegando" e ho pensato che fosse una buona domanda. Dopo aver fatto qualche ricerca su google ho trovato due risposte:

Secondo questa persona a l'elenco delle autorità del contenuto root è incorporato nel sistema operativo e qualsiasi altra CA è attendibile (o meno) da quelle root.

Just so you know, Microsoft determines which Trusted Root CAs are automatically loaded into their operating system. It’s the same story with Apple.

Tuttavia, su Wikipedia, sembra che l'elenco delle CA di fiducia sia incorporato nel browser web:

The browser already possesses the public key of the CA and consequently can verify the signature, trust the certificate and the public key in it

Quindi qual è? Sia il sistema operativo che il browser sono dotati di un elenco integrato di autorità di certificazione attendibili e se un certificato è firmato da una voce in uno dei due elenchi è affidabile?

    
posta Celeritas 14.10.2015 - 07:30
fonte

1 risposta

4

So which is it? Does both the operating system and browser come with a built in list of trusted certificate authorities and if a certificate is signed by an entry in either one of the list it's trusted?

Dipende.

Windows e MacOS X sono dotati di un proprio archivio certificati pieno della CA attendibile e di entrambi i browser incorporati (ad esempio Internet Explorer o Safari) e Chrome utilizza questo archivio CA. Firefox invece viene fornito con un proprio archivio CA e solo questo archivio CA. Con Android e iOS la situazione è simile, anche se non conosco il comportamento di Firefox su Android.

Linux e * BSD hanno anche un archivio CA integrato ma questo non è usato dai browser comuni. Firefox usa di nuovo il proprio negozio e su questa piattaforma anche Chrome utilizza il proprio negozio.

    
risposta data 14.10.2015 - 07:47
fonte

Leggi altre domande sui tag