Internet Explorer 信任哪些证书颁发机构？

Question

浏览器默认信任哪些证书颁发机构？ Internet explorer、firefox、chrome、safari 之间有什么不同吗？有没有什么地方可以看到这个？或者仅仅是如果它是一个证书颁发机构，浏览器信任它，如果它是自签名的，浏览器不信任它？如果是这样，为什么有些公司提供免费的ssl证书？

Answer 1

您应该能够从以下链接中找到适用于 Windows/IE 的政策和成员列表：

• http://support.microsoft.com/kb/931125
• http://social.technet.microsoft.com/wiki/contents/articles/windows-root-certificate-program-members.aspx

此外，这里有一些其他浏览器/操作系统的链接：

• http://www.mozilla.org/projects/security/certs/included/
• http://www.apple.com/certificateauthority/

话虽如此，这些是软件提供的默认列表。系统管理员通常可以更改此列表（例如，在公司环境中添加新的 CA 证书）。在 IE 中，如果您进入 Internet 选项，您应该能够检查根 CA 和中间 CA 的列表。其他浏览器也有类似的选项。

EV 证书有一个例外，其中签名在浏览器中被硬编码，以便它们被识别为 EV CA（尽管我认为 CA 也需要在受信任的列表中，而不仅仅是硬- 为启用 EV 而编码）。

Answer 2

正如您所说，并非每个证书都默认被识别，尤其是便宜的证书。所以那些更适合内网应用等和调试。对于 Live 网站，您确实需要确保它们受到支持，否则您的用户将看到一个丑陋的警告。

至于你关于self signing vs certificate authorities等的问题，不，事实并非如此。