以Mozilla为例，一个简单判断根证书是否被非微软的第三方认证通过的方法

一般而言，尤其是对于代码签名而言，该类型数字证书的根证书被Windows认证通过即可，但是遨游在互联网上，却不是这么一回事了？

即使微软认证的根证书机构签发的SSL证书，部分浏览器依然会做出不完全信任的提示，会用一把黄颜色一把小锁作出明确提示（完全信任的SSL应为绿色小锁）

那么如何快速简便检查根证书是否被操作系统（代表微软）和第三方非IE核心浏览器（代表非微软）所支持呢？

以下方法供参考。

URL:   https://bbs.wosign.com

沃通根证书（英文标识的那一份，序列号：5e 68 d6 11 71 94 63 50 56 00 68 f3 3e c9 c5 91，非中文标识证书，序列号：50 70 6b cd d8 13 fc 1b 4e 3b 33 72 d2 11 48 8d）在未被导入系统证书池前，

IE访问该地址，并查阅证书路径，可得下图



大家可能会提出一个疑问，不是说Wosign自己的顶层证书是根证书的吗？说是也是，说不是也不是，因为被系统初始授信的根证书至今为止也只有UTN、Verisign、Thawte等少数几家CA，但是因为存在交叉签名，所以当前面这几家CA对后来者进行交叉签名后，被交叉签名的证书自然也能被系统识别为有效的根证书（注意咯，是根证书，不是前者签发的中级证书）

当安装好微软提供的Windows Root Certification Update后，再次使用IE访问该站点，我们可以发现，证书路径更新为了



很明显，沃通自己已经是根证书的签发机构了。

说到这里，需要强调一点的是，以上所述皆操作于Windows系统及其组件下。其实，每一家有需求的厂商都可以有自己的一套证书管理机制，微软认证通过的，第三方机构就一定也要不加审核就给予认证通过吗？答案自然是否定的。

大家请看，在安装了最新版Windows Root Certification Update后，即上文图二的情况，我们使用Firefox访问该站点，查阅证书路径后，发现，如下，和上文图一是一致的，那不是UTN已经交叉签名了沃通了吗？

对不起，那是微软的认为，Mozilla并不这么认为。



直到本月初（2014年7月），Mozilla更新NSS版本为NSS 3.16.3（文末会对NSS做一简单介绍，或请大家自行百度），将沃通的根证书放入了其证书池，再次访问即可得如上文图二的证书路径，见下图



有童鞋会问了，那么在非WINDOWS程序中，我们如何像安装微软Windows Root Certification Update一样，把一个CA界后来者的根证书加入证书池呢？毕竟除了Windows Root Certification Update外，我们其实可以在操作系统中手工导入一张证书入证书池。

对不起，NSS目前是一个相对封闭的环境，不接受客户手工提交申请，NSS会定期更新，在Mozilla认为条件、时机成熟的时候，新的根证书是会被其接受认可的。

Mozilla Firfox 32 beta 集成有NSS 3.16.3，所以使用新版本的火狐访问本例中的站点，即使沃通的根证书未被微软认可（即暂未安装最新版Windows Root Certification Update），查阅证书路径，依然会有如上文图四的情形，而非图三，如下图



（说明：上文图三使用的是火狐V28，图四使用的是火狐V32 beta）

P.S.

NSS，全名 Network Security Services，它是由Mozilla基金会发起的一组支持客户端和服务器端安全通信服务的跨平台开发库，NSS支持SSL、TLS、S/MIME等。

NSS 3.16.3更新内容有：

1、预置了10份新的根证书（包含沃通的2份根证书），据悉中文标识的那一份根证书也是目前全球唯一的一份得到NSS信任的中文根证书；

2、删除、禁用、限制使用了由部分知名CA（Verisign、Entrust等）的1024位密钥长度的根证书（如：VeriSign Class 3 Public Primary CA，早年的许多代码签名数字证书都是由该证书作为根证书颁发机构签发的，因这部分内容涉及Code Signing，非SSL，在此就不赘述了，感兴趣的童鞋可移步 《代码签名数字证书介绍及资料索引汇总》）。

欢迎大家一起交流，以上所述如有不实之处，请不吝指正。

helen 发表于 2014-7-31 09:47
微软将于2014年4月8日停止发布Windows XP补丁。沃通公司抓住了时机。沃通根证书将成为预置到全球Windows  ...

领导们的战略眼光真好，大家来点赞，吼吼

学习一记

真是赞，学习学习！

拜读学习———附加 ikimi 。真想见见你的庐山真面目哈。。来深圳啥

WS_Daniel 发表于 2014-7-30 10:53
拜读学习———附加 ikimi 。真想见见你的庐山真面目哈。。来深圳啥

是大美女的，哪那么容易让你看到

Winnie 发表于 2014-7-30 16:24
是大美女的，哪那么容易让你看到

不是吧，ikimi 是美女？

我喜欢啊，请继续 支持你











bjcars.net

微软于2014年3月11日凌晨全球发布了Windows受信任的根证书更新补丁(KB931125)，其中包括沃通(WoSign)完全拥有知识产权和所有权的两个根证书：“Certification Authority of WoSign”(英文根证书)和“CA沃通根证书”(中文根证书)

helen 发表于 2014-7-31 09:43
微软于2014年3月11日凌晨全球发布了Windows受信任的根证书更新补丁(KB931125)，其中包括沃通(WoSign)完全拥 ...

微软将于2014年4月8日停止发布Windows XP补丁。沃通公司抓住了时机。沃通根证书将成为预置到全球Windows XP用户电脑中的最后的根证书，也是唯一的中文根证书，今后不可能再有任何新的根证书被预置到Windows XP中了。