web-dev-qa-db-fra.com

Comment mon navigateur fait-il intrinsèquement confiance à une autorité de certification?

Je lis cet article et je ne comprends pas la réponse.

La réponse se termine par les mots

... votre navigateur peut vérifier un certificat par rapport au suivant, jusqu'à l'autorité de certification racine, à laquelle votre navigateur fait confiance de manière inhérente.

Comment mon navigateur peut intrinsèquement faire confiance à une autorité de certification? Contient-il une clé publique codée en dur de l'AC? Si oui, pourquoi n'expire-t-il pas? Où puis-je voir quelles autorités de certification sont intrinsèquement approuvées par le navigateur?

58
polina-c

Comment mon navigateur peut-il intrinsèquement faire confiance à une autorité de certification? Contient-il une clé publique codée en dur de l'AC?

Votre navigateur (et éventuellement votre système d'exploitation) est fourni avec une liste d'autorités de certification de confiance. Ces certificats pré-installés servent d'ancres de confiance pour dériver toute confiance supplémentaire. Lorsque vous visitez un site Web HTTPS, votre navigateur vérifie que la chaîne de confiance présentée par le serveur pendant la négociation TLS se termine sur l'un des certificats racine approuvés localement.

Si oui, pourquoi n'expire-t-il pas?

Les certificats racine expirent, mais ils ont généralement une durée de validité exceptionnellement longue (souvent environ 20 ans). Vous pouvez vous attendre à ce qu'avec une mise à jour de votre navigateur ou de votre système d'exploitation, vous obtiendrez de nouveaux certificats racine avant l'expiration des anciens.

Où puis-je voir quelles autorités de certification sont intrinsèquement approuvées par le navigateur?

Cela dépend de votre navigateur. Certains navigateurs utilisent simplement le magasin central de certificats racine de votre système d'exploitation, s'il est disponible.

Pour Mozilla Firefox, vous pouvez trouver des informations sur les certificats inclus ici et dans ce fichier de code source . Depuis Firefox, vous pouvez voir tous vos certificats installés en allant à about:preferences et vers Avancé> Certificats> Afficher les certificats .

Pour Google Chrome, la politique de certificat racine peut être trouvée ici . Depuis Google Chrome, vous pouvez accéder aux paramètres, cliquer sur Afficher les paramètres avancés ... et sous HTTPS/SSL vous cliquez sur Gérer les certificats pour afficher tous les certificats installés.

75
Arminius