受信任的根证书神奇地安装到 Windows

Question

在某些站点上，证书链无法建立到受信任的根证书，因为 Windows 不知道此受信任的根证书。但是，如果我们使用 IE 或 Chrome 访问此类站点，Windows 会自动在某处下载（验证）受信任的根，并将其静默安装到受信任的证书颁发机构存储中。在此之后，我们可以将证书链构建到新安装的根目录。如果我们从 Windows 存储中手动删除新下载的受信任根证书，则无法再次构建链。

我知道授权信息访问扩展。问题是链中最顶层的可用证书（缺少受信任根的孩子）没有包含这样的扩展。即使有，Windows 也不会自动信任下载的证书。

因此，必须有一些关于可信根的其他知识来源。问题是 - 我们如何自己使用该资源。如果有人有兴趣检查它，可以使用here 提供最上面的可用证书。

Answer 1

此链接http://support.microsoft.com/kb/931125 解释了 Windows 如何在 Vista 和 7 中静默更新根证书。

Answer 2

我也多次偶然发现这一点。它可以使用 Windows 沙箱轻松复制。如果使用 curl 或类似证书无法验证。只有当您调用 WinHttpOpen 时，才会将根证书（如果受信任）添加到根证书存储中。 See this post

Answer 3

证书包含一个名为“授权信息访问”的扩展，其中包含颁发 CA 的详细信息。用于“https://gooogle.com”的证书示例如下所示。浏览器读取此值，从提供的 URL 下载证书，并在证书链上重复该过程。