Kui server saadab oma sertifikaadi kliendile, saadab ta tegelikult sertifikaatide ahela , nii et kliendil on lihtsam serverisertifikaati kinnitada (klienti pole vaja kasutada täpselt seda ahelat, kuid praktikas kasutab enamus kliente ja mitte kedagi teist). Seda on kirjeldatud SSL / TLS-i standardi jaotises 7.4.2 koos eelkõige selle valgustava väljavõttega:

Saatja sertifikaat PEAB loendis olema esimene . Iga järgmine sertifikaat PEAB otse kinnitama sellele eelnevat. Kuna sertifikaadi valideerimine nõuab juurvõtmete iseseisvat levitamist, võib juurkirja sertifikaadi volitusi täpsustava iseallkirjastatud sertifikaadi kettist välja jätta, eeldusel, et kaugotsing peab selle igal juhul valideerimiseks juba valdama.

Kuna tegemist on juhtumiga "MAY" ("MAY", "PEAB", "PEAB" ... RFC terminoloogial on väga täpne tähendus, mida on selgitatud RFC 2119), lubatakse serveril ahelasse lisada juursertifikaat (aka "usalduse ankur") või see ära jätta. Mõni server sisaldab seda, teine ​​mitte. Tüüpiline kliendirakendus, mille eesmärk on täpselt saadetud keti kasutamine, püüab kõigepealt leida keti sertifikaadid oma usalduse poest; kui see ei õnnestu, püüab ta oma usalduspoest leida "viimase" ahelsertifikaadi väljaandja . Mõlemal juhul vastab see standarditele ja see peaks toimima.

(Ahelate järjestuses on vähe segadust. Tõelises X.509 kett tellitakse usalduse ankrust lõpp-üksuse sertifikaadini. SSL / TLS-i "sertifikaat" sõnum on kodeeritud vastupidises järjekorras, esimesena tuleb serveri enda kvalifitseeriv lõpp-üksuse sertifikaat. Siin kasutan SSL / TLS terminoloogia, mitte X.509.)

Ainus halb asi, mida juurketi saatmisest ahelas võib öelda, on see, et see kasutab asjatult natuke võrgu ribalaiust. See on umbes 1 kB andmeid ühenduse kohta mis sisaldab täielikku käepigistust . Kliendi (veebibrauseri) ja serveri vahelises tavapärases seansis saab seda tüüpi olla ainult üks; muud kliendi ühendused kasutavad "lühendatud käepigistusi", mis põhinevad algsel käepigistusel, ja ei kasuta sertifikaate üldse. Ja iga ühendust hoitakse elus paljude järjestikuste HTTP-taotluste korral. Nii et juurte saatmisega kaasnevad võrgu üldkulud on kerged.

See tähendab, et saidi pakutavad sertifikaadid hõlmavad sertifikaatide keti juursertifikaati (kett, kus sertifikaat on seotud selle väljaandja sertifikaadiga, juur on tema enda väljaandja sertifikaat).

Kuna sertifikaati usaldatakse ainult siis, kui klient on selgesõnaliselt usaldanud oma ahela juursertifikaati (või mõnda selle vahelist osa), pole juursertifikaadi edastamine vajalik: kui see on usaldusväärne, on kliendil see juba olemas. Aruanne osutab muuseas sellele allpool märkusega "Usalduspoes".

Ma ei peaks seda hoiatuse põhjuseks, võib-olla ainult vihjeks. ssltest tundub õnnelik ka nende 100% -lise sertifikaadireitinguga.

Võimalik, et on kasutatud ka teistpidi: petturitest saidid, mis pakuvad võltsjuursertifikaate, mis lollakate klientide vea usaldusväärsete vastu, mille tulemusel klient usaldab saidile. Selliste klientide kasutajad on aga nagunii hädas.