Skąd Chrome pobiera listę urzędów certyfikacji?


21

W Fedorze mówię o liście wyświetlanej po przejściu do ustawień> zarządzaj certyfikatami> zakładka władze.

Przeczytałem, że powinien on znajdować się we współużytkowanej bazie danych NSS, ale to polecenie zwraca pustą listę:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Odpowiedzi:


13

Są to NSSwbudowane certyfikaty. Są one udostępniane przez bibliotekę współdzieloną: /usr/lib/libnssckbi.so(ścieżka może być inna w systemie). Stąd Chrome je pobiera.
Możesz je wymienić w certutilnastępujący sposób:

Utwórz link do biblioteki w ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Następnie uruchomić:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Wynik:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

Dostaje je od podstawowego systemu operacyjnego. Możesz przeczytać o tym tutaj:

fragment powyższego linku

Google Chrome próbuje użyć głównego katalogu certyfikatów bazowego systemu operacyjnego, aby ustalić, czy certyfikat SSL przedstawiony przez witrynę jest rzeczywiście godny zaufania, z kilkoma wyjątkami.

Ta strona opisuje dalej, z kim należy się skontaktować, jeśli jesteś głównym dostawcą CA dla różnych systemów operacyjnych itp.

Bibliografia


3

Jeśli nie masz szansy, że pytasz, ponieważ faktycznie musisz użyć listy głównych urzędów certyfikacji, oto one (niestety nazwane tylko przez indeks):

Pojedyncze pliki certyfikatów

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Duży plik certyfikatów Mozilli

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Skrypty do analizy dużych plików certyfikatów

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Ogólne informacje o wypakowywaniu pliku certyfikatów Mozilli

http://curl.haxx.se/docs/caextract.html

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.