Odpowiedzi:
ca-bundle.trust.crt przechowuje certyfikaty z „rozszerzoną weryfikacją”.
Różnica między „normalnymi” certyfikatami a certyfikatami z EV polega na tym, że twoje certyfikaty EV potrzebują czegoś takiego jak weryfikacja osobista lub firmowa poprzez np. Sprawdzenie tożsamości osoby na podstawie jej paszportu.
Oznacza to, że jeśli chcesz uzyskać certyfikat ev, będziesz musiał przedstawić się wystawcy certyfikatu, np. Poprzez paszport. Jeśli „jesteś” firmą, musi się wydarzyć równoważna procedura (nie wiem dokładnie). Jest to najbardziej istotne w przypadku bankowości internetowej: musisz mieć pewność, że nie tylko serwer, z którym się łączysz, jest certyfikowany, ale także bank ma certyfikat.
Z tego powodu certyfikaty ev są bardziej „skomplikowane” i zawierają dodatkowe pola do „identyfikacji” nie tylko serwera, ale także firmy.
Aby wrócić do swojej odpowiedzi: To zależy od twojego użycia. Większość ludzi powinna używać pliku ca-bundle.crt. Jeśli „jesteś” bankiem lub sklepem internetowym, który wymaga bardzo wysokiego poziomu certyfikacji i „zaufania”, powinieneś użyć pliku ca-bundle.trust.crt.
Po „eksplodowaniu” pakietów za pomocą małego skryptu Perl , a następnie uruchomieniu diff --side-by-sidena certyfikacie rządu Tajwanu (przykładowo, biorąc pod uwagę tylko dlatego, że jest to jedyny certyfikat w pakiecie bez CNatrybutu w wierszach Issueri Subject) (używa SHA1, ale to ok ) widzimy różnicę:
ca-bundle.trust.crtlewej stronyca-bundle.crtprawej strony----- ROZPOCZNIJ ZAUFANY CERTYFIKAT ----- | ----- ROZPOCZNIJ CERTYFIKAT -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rE
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- KONIEC ZAUFANYCH CERTYFIKATÓW ----- | ----- KONIEC CERTYFIKATU -----
Certyfikat: Certyfikat:
Dane: Dane:
Wersja: 3 (0x2) Wersja: 3 (0x2)
Numer seryjny: Numer seryjny:
1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
Algorytm podpisu: sha1WithRSAEncryption Algorytm podpisu: sha1WithRSAEncryption
Emitent: C = TW, O = Autorytet główny rządu Emitent: C = TW, O = Autorytet główny rządu
Ważność Ważność
Nie wcześniej: 5 grudnia 13:23:33 GMT Nie wcześniej: 5 grudnia 13:23:33 2002 GMT
Nie po: 5 grudnia 13:23:33 2032 GMT Nie po: 5 grudnia 13:23:33 2032 GMT
Temat: C = TW, O = Rządowa certyfikacja root Au Przedmiot: C = TW, O = Rządowa certyfikacja root Au
Temat klucza publicznego: Temat klucza publicznego:
Algorytm klucza publicznego: rsaEncryption Algorytm klucza publicznego: rsaEncryption
Klucz publiczny RSA: (4096 bitów) Klucz publiczny RSA: (4096 bitów)
Moduł: Moduł:
00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
... ...
95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
c1: 4a: 21 c1: 4a: 21
Wykładnik: 65537 (0x10001) Wykładnik: 65537 (0x10001)
Rozszerzenia X509v3: Rozszerzenia X509v3:
Identyfikator klucza podmiotu X509v3: Identyfikator klucza podmiotu X509v3:
CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
Podstawowe ograniczenia X509v3: Podstawowe ograniczenia X509v3:
CA: PRAWDA CA: PRAWDA
setCext-hashedRoot: setCext-hashedRoot:
0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2,1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
Algorytm podpisu: sha1WithRSAEncryption Algorytm podpisu: sha1WithRSAEncryption
40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
... ...
e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Zaufane zastosowania: <
Ochrona poczty e-mail, uwierzytelnianie serwera TLS Web <
Bez odrzuconych zastosowań. <
Alias: Taiwan GRCA <