Я перешел к www.flipkart.com и просмотрел его цепочку сертификатов. Было два промежуточных сертификата, а именно Центр сертификации Go Daddy Secure - G2 и Корневой центр сертификации Go Daddy - G2 и корневой сертификат, а именно Центр сертификации Go Daddy Class 2.
Я заметил, что Корневой центр сертификации Go Daddy - G2 был подписан Центр сертификации Go Daddy Class 2. Теперь я пошел в свое системное хранилище сертификатов и увидел, что Root Certificate Authority Go Daddy - G2 был самоподписанным (то есть находился в корневом хранилище).
Как это произошло? Я не в курсе? Когда я просматривал веб-сайт, казалось, что он был подписан другим ЦС, но когда я просматривал в магазине, он показывает самоподписанный?
Скриншот сертификата Корневой центр сертификации Go Daddy - G2 взято из Flipkart: Скриншот сертификата Flipkart
Скриншот сертификата Корневой центр сертификации Go Daddy - G2 взято из магазина Windows: Скриншот из Магазина Windows
Теперь, если вы заметили, серийные номера одних и тех же сертификатов в браузере и системе разные.
Такой же Распространенное имя и ключ можно использовать в разных файлах сертификатов, чтобы предложить несколько путей для сертификации:
Путь 1 (ваш браузер учел этот путь, потому что сервер отправил это промежуточное звено)
Go Daddy Secure Certificate Authority - G2, подписано:Go Daddy Root Certificate Authority - G2, подписано:Go Daddy Class 2 Certification Authority, самоподписанный, в магазине доверияПоскольку эта цепочка связывает сертификат веб-сайта с доверенным центром сертификации в магазине, сертификату веб-сайта можно доверять.
Путь 2 (он находится в хранилище сертификатов вашей системы, ваш браузер также может проверить его)
Go Daddy Secure Certificate Authority - G2, подписано:Go Daddy Root Certificate Authority - G2, самоподписанный, в магазине доверияПоскольку эта цепочка связывает сертификат веб-сайта с доверенным центром сертификации в магазине, сертификату веб-сайта можно доверять.
В этом случае оба пути принимаются всеми популярными браузерами.
Наличие двух отдельных путей в зависимости от вашего хранилища сертификатов (системы и / или браузера) не является признаком злонамеренной активности. Иногда несколько, иногда меняющихся путей сертификации используются по ряду бюрократических и технических причин в среде CA. Люди, которые работают над браузером или обслуживают хранилища корневых сертификатов (Mozilla, Microsoft, ...), очень внимательно рассматривают все возможные последствия этого.
Примечание. Ваш пример веб-сайта также предлагает браузеру самозаверяющий сертификат «Класс 2». Это бесполезно для обычных браузеров, потому что они уже есть, но это также не повредит (кроме того, что вызывает ненужный трафик).
Я думаю, что это ожидаемое поведение:
Сертификат корневого ЦС будет самоподписанным, поскольку они являются доверенной третьей стороной для проверки других объектов. Однако, если они будут скомпрометированы, их корневой центр сертификации станет недействительным. Взгляните на детали сертификата, который должен сообщить вам, когда истечет срок его действия. Это верный признак того, что ваши сертификаты обновлены в вашем местном магазине CA.
Добавить
Основываясь на вашем комментарии, я немного покопался:
https://certdb.com/domain/godaddy.com
Оба сертификата действительны. Вы можете определить даты «Действительно с» и «Действительно до». Что касается вашего запроса о разных эмитентах. Я предполагаю, что у них разные классы и уровни сертификатов. В зависимости от сертификата, выданного промежуточному ЦС или организации, будет зависеть эмитент Go Daddy.
Я думаю, что выше по цепочке. Я думаю, что тот, который принадлежит Flipkart, находится ниже в их цепочке сертификатов.