Нет, эти люди неисправимы

[dil]

Ткнул на http://www.microsoft.com/Rus/ в ссылочку "Управление профилем". В левом нижнем углу. Так пока меня до Паспорта редиректило, я получил ДВА предупреждения о неверифицируемых сертификатах. https://profile.microsoft.com и https://c.microsoft.com. Оба самовыписанные.

И вёрстка.. "Заявление о защите личных сведений" вылезло из квадратика "Вход в Microsoft" наполовину, а "Условия использования" - вовсе целиком.

Comments

[titov.livejournal.com]

На c.microsoft.com сертификат не самовыписанный, а достаточно нормальный, в IE виден его путь сертификации целиком. Хотя, конечно, один из уровней сертификации там явно лишний.

[numulito.livejournal.com]

а я постоянно напарываюсь на simg.mail.yandex.ru
который использует сертификат mail.yandex.ru

[dil.livejournal.com]

Ага, я так сразу и подумал.

[dil.livejournal.com]

А кто это?? Я такого вообще ни разу не видел

[numulito.livejournal.com]

Я всегда работаю через https

Каждый раз, когда я обращаюсь к приложеннму файлу
получаю предупреждение, domain name mismatch.

[dil.livejournal.com]

а-а, я туда никогда не забирался. Напиши в суппорт :)

[(Anonymous)]

а можно узнать в чем проблема, если в сертификате есть нормальные пути к crl и сертификату CA, выдавшего этот сертификат...а иерархия утыкается в вовсе не m$-овский root CA?

[dil.livejournal.com]

А можно специально для меня ткнуть пальцем, где на вышеозначенной картинке пути к CA и почему там Issuer - сам Microsoft?
Для сравнения сертификат с собственно Паспорта:


Не, я охотно верю, что в IE может быть встроен какой-то ОСОБЕННЫЙ механизм проверки сертификатов, который видит то, что другим недоступно, но это уже вообще за всякие рамки приличия выходит..

[(Anonymous)]

к сожалению на вышеозначенной картинке не видно extensions сертификата (в частности AIA) и как их видет браузер. Opera, например, то же ругается, хотя, почему то, нормально видит AIA (Authority Information Access:
CA Issuers - URI:http://www.microsoft.com/pki/mscorp/Microsoft%20Secure%20Server%20Authority(2).crt
CA Issuers - URI:http://corppki/aia/Microsoft%20Secure%20Server%20Authority(2).crt)
и по-моему AIA соответствует rfc2459

[(Anonymous)]

ну, и пройдя по иерархии, все приходит к GTE CyberTrust Global Root

[dil.livejournal.com]

Про AIA там написано вот что:

Not Critical
30 81 af 30 5e 06 08 2b 06 01 05 05 07 30 02 86
52 68 74 74 70 3a 2f 2f 77 77 77 2e 6d 69 63 72
6f 73 6f 66 74 2e 63 6f 6d 2f 70 6b 69 2f 6d 73
63 6f 72 70 2f 4d 69 63 72 6f 73 6f 66 74 25 32
30 53 65 63 75 72 65 25 32 30 53 65 72 76 65 72
25 32 30 41 75 74 68 6f 72 69 74 79 28 32 29 2e
63 72 74 30 4d 06 08 2b 06 01 05 05 07 30 02 86
41 68 74 74 70 3a 2f 2f 63 6f 72 70 70 6b 69 2f
61 69 61 2f 4d 69 63 72 6f 73 6f 66 74 25 32 30
53 65 63 75 72 65 25 32 30 53 65 72 76 65 72 25
32 30 41 75 74 68 6f 72 69 74 79 28 32 29 2e 63
72 74

Я, честно говоря, такое читать не умею :)

[(Anonymous)]

я, прзнаться, то же ;) Но браузеры некоторые умеют (и не только IE), как выясняется.
а можно поинтересоваться, как выглядет в этом браузере сертификат, выданные CA, сертификат которого не храниться локально в списке доверенных? (т.е. если браузеру все ж таки для валидации сертификата надо сходить за сертификатами центров в иерархии)

[dil.livejournal.com]

Вот так:

[(Anonymous)]

а можно узнать каким образом в этом случае браузером (или ОС) получен сертификат Thawte SGC CA. Т.е. из какого атрибута сертификата mail.yandex.ru получен uri к сертификату (.crt) Thawte SGC и каким образом (http;ldap etc) он получен? или он все же взят из некого локального хранилища сертификатов intermediate CA?

[(Anonymous)]

то есть я понимаю, что в данном случае (и не плохо бы m$ делать так же) сертификат intermediate CA (Thawte SGC в данном случае) передал сам mail.yandex.ru. А если бы он этого не сделал?