Iceweasel 22.0을 사용하여 웹페이지를 방문하면 sec_error_unknown_issuer오류 메시지가 나타납니다. X.509v3 인증서 계층 구조를 살펴보면 최상위 인증서는 "DOD CA-28"입니다. 그러나 "DOD CA-28" 발급자의 일반 이름은 "DOD CA-28" 자체가 아니라 "DoD Root CA 2"입니다.
"DoD Root CA 2"가 인증서 계층 구조의 최상위 인증서로 나열되지 않는 이유는 무엇입니까? 이것이 신뢰 사슬을 깨뜨리고 따라서 Iceweasel이 sec_error_unknown_issuer오류를 표시할 것이라고 생각하는 것이 맞습니까?
답변1
서버는 루트 인증서 자체가 아닌 신뢰할 수 있는 루트를 가리키는 인증서만 보냅니다(브라우저는 네트워크에서 얻은 모든 것을 신뢰할 수 없기 때문입니다). 이 경우 신뢰할 수 있는 루트는 "DoD Root CA 2"일 수 있지만 브라우저에서는 신뢰할 수 있는 루트로 설치해야 합니다. 설치되지 않았기 때문에 인증서 체인을 확인할 수 없으므로 리프 인증서를 신뢰할 수 없습니다.
"DoD Root CA 2"를 신뢰하려면 해당 인증서를 가져와서 신뢰할 수 있는 브라우저로 가져와야 합니다. 완료되면 인증서 확인이 성공해야 합니다.