在 Fediverse 上看到「The recording of my "Browsers biggest TLS Mistake" lightning talk at #37C3」這個,這是出自 37C3 的 lightning talk,影片不長,只有五分鐘,可以在「Browsers biggest TLS mistake」這邊看到。
正常的 HTTPS server 會送出 Intermediate CA certificate 與自己的 TLS certificate:
當伺服器端沒有設定好,通常是只送出自己的 TLS certificate:
這種情況在 Firefox 裡有處理,軟體本身會預載所有的 Intermediate CA 避免這種問題 (當然會需要跟著軟體更新),這點在三年前有提到過:「Firefox 試著透過預載 Intermediate CA 降低連線錯誤發生的機率?」,也就是這張投影片提到的情況:
而 Chrome 則是去看目前的 cache 資料,找看看是不是在其他地方有看到適合的 Intermediate CA 可以接起來:
這好像可以解釋為什麼之前遇到類似的問題的時候,在 Chrome 上面會需要進 chrome://
裡面清東西才能重製...