Risposte:
ca-bundle.trust.crt contiene certificati con "validazione estesa".
La differenza tra certificati "normali" e certificati con EV è che i certificati EV hanno bisogno di qualcosa di simile a una convalida personale o aziendale, vale a dire la convalida dell'identità di una persona tramite il suo passaporto.
Ciò significa che se si desidera ottenere un certificato, è necessario identificarsi con l'emittente del certificato tramite il passaporto. Se "sei" un'azienda, allora deve accadere una procedura equivalente (non la conosci esattamente). Questo è essenziale per l'online banking: devi essere sicuro che non solo il server a cui ti connetti sia certificato, ma anche che la banca sia certificata.
Per questo motivo gli eventi sono più "complicati" e contengono campi aggiuntivi per "identificare" non solo il server ma anche l'azienda.
Per tornare alla tua risposta: dipende dal tuo utilizzo. Molte persone dovrebbero usare ca-bundle.crt. Se "sei" una banca o un negozio online che necessita di un livello molto alto di certificazione e "fiducia", allora dovresti usare ca-bundle.trust.crt.
Dopo "esplodere" i bundle usando un piccolo script Perl , quindi eseguendo diff --side-by-side
il certificato del governo di Taiwan (ad esempio, preso solo perché è l'unico certificato nel bundle senza CN
attributo nelle righe Issuer
e Subject
) (usa SHA1 ma quello è ok ) vediamo la differenza:
ca-bundle.trust.crt
sinistraca-bundle.crt
a destra----- INIZIA CERTIFICATO DI AFFIDABILITÀ ----- | ----- INIZIA ATTESTATO ----- MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhFAG ... LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njD / rEUNE pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS ----- CERTIFICATO DI FINE FIDUCIA ----- | ----- CERTIFICATO DI FINE ----- Certificato: Certificato: Dati: Dati: Versione: 3 (0x2) Versione: 3 (0x2) Numero di serie: Numero di serie: 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: E3: 5e: F6 Algoritmo di firma: sha1WithRSAEncryption Algoritmo di firma: sha1WithRSAEncryption Emittente: C = TW, O = Aut di certificazione radice del governo Emittente: C = TW, O = Aut di certificazione radice del governo Validità Validità Non prima: 5 dic 13:23:33 2002 GMT Non prima: 5 dic 13:23:33 2002 GMT Non dopo: 5 dic 13:23:33 2032 GMT Non dopo: 5 dic 13:23:33 2032 GMT Oggetto: C = TW, O = certificazione radice del governo Au Oggetto: C = TW, O = certificazione radice del governo Au Informazioni sulla chiave pubblica del soggetto: Informazioni sulla chiave pubblica del soggetto: Algoritmo di chiave pubblica: rsaEncryption Algoritmo di chiave pubblica: rsaEncryption Chiave pubblica RSA: (4096 bit) Chiave pubblica RSA: (4096 bit) Modulo: Modulo: 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59 ... 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: C9 c1: 4a: 21 c1: 4a: 21 Esponente: 65537 (0x10001) Esponente: 65537 (0x10001) Estensioni X509v3: Estensioni X509v3: Identificatore chiave oggetto X509v3: Identificatore chiave oggetto X509v3: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: Vincoli di base X509v3: Vincoli di base X509v3: CA: TRUE CA: TRUE setCext-hashedRoot: setCext-hashedRoot: 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 Algoritmo di firma: sha1WithRSAEncryption Algoritmo di firma: sha1WithRSAEncryption 40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b ... e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12 Usi affidabili: < Protezione e-mail, autenticazione server Web TLS < Nessun utilizzo rifiutato. < Alias: Taiwan GRCA <