Risposte:
ca-bundle.trust.crt contiene certificati con "validazione estesa".
La differenza tra certificati "normali" e certificati con EV è che i certificati EV hanno bisogno di qualcosa di simile a una convalida personale o aziendale, vale a dire la convalida dell'identità di una persona tramite il suo passaporto.
Ciò significa che se si desidera ottenere un certificato, è necessario identificarsi con l'emittente del certificato tramite il passaporto. Se "sei" un'azienda, allora deve accadere una procedura equivalente (non la conosci esattamente). Questo è essenziale per l'online banking: devi essere sicuro che non solo il server a cui ti connetti sia certificato, ma anche che la banca sia certificata.
Per questo motivo gli eventi sono più "complicati" e contengono campi aggiuntivi per "identificare" non solo il server ma anche l'azienda.
Per tornare alla tua risposta: dipende dal tuo utilizzo. Molte persone dovrebbero usare ca-bundle.crt. Se "sei" una banca o un negozio online che necessita di un livello molto alto di certificazione e "fiducia", allora dovresti usare ca-bundle.trust.crt.
Dopo "esplodere" i bundle usando un piccolo script Perl , quindi eseguendo diff --side-by-sideil certificato del governo di Taiwan (ad esempio, preso solo perché è l'unico certificato nel bundle senza CNattributo nelle righe Issuere Subject) (usa SHA1 ma quello è ok ) vediamo la differenza:
ca-bundle.trust.crtsinistraca-bundle.crta destra----- INIZIA CERTIFICATO DI AFFIDABILITÀ ----- | ----- INIZIA ATTESTATO -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhFAG
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njD / rEUNE
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- CERTIFICATO DI FINE FIDUCIA ----- | ----- CERTIFICATO DI FINE -----
Certificato: Certificato:
Dati: Dati:
Versione: 3 (0x2) Versione: 3 (0x2)
Numero di serie: Numero di serie:
1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: E3: 5e: F6
Algoritmo di firma: sha1WithRSAEncryption Algoritmo di firma: sha1WithRSAEncryption
Emittente: C = TW, O = Aut di certificazione radice del governo Emittente: C = TW, O = Aut di certificazione radice del governo
Validità Validità
Non prima: 5 dic 13:23:33 2002 GMT Non prima: 5 dic 13:23:33 2002 GMT
Non dopo: 5 dic 13:23:33 2032 GMT Non dopo: 5 dic 13:23:33 2032 GMT
Oggetto: C = TW, O = certificazione radice del governo Au Oggetto: C = TW, O = certificazione radice del governo Au
Informazioni sulla chiave pubblica del soggetto: Informazioni sulla chiave pubblica del soggetto:
Algoritmo di chiave pubblica: rsaEncryption Algoritmo di chiave pubblica: rsaEncryption
Chiave pubblica RSA: (4096 bit) Chiave pubblica RSA: (4096 bit)
Modulo: Modulo:
00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
...
95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: C9
c1: 4a: 21 c1: 4a: 21
Esponente: 65537 (0x10001) Esponente: 65537 (0x10001)
Estensioni X509v3: Estensioni X509v3:
Identificatore chiave oggetto X509v3: Identificatore chiave oggetto X509v3:
CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
Vincoli di base X509v3: Vincoli di base X509v3:
CA: TRUE CA: TRUE
setCext-hashedRoot: setCext-hashedRoot:
0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
Algoritmo di firma: sha1WithRSAEncryption Algoritmo di firma: sha1WithRSAEncryption
40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
...
e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Usi affidabili: <
Protezione e-mail, autenticazione server Web TLS <
Nessun utilizzo rifiutato. <
Alias: Taiwan GRCA <