Differenza tra ca-bundle.crt e ca-bundle.trust.crt


18

Su CentOS 6.5, /etc/pki/tls/certsho:

ca-bundle.crt

e

ca-bundle.trust.crt

Con file di dimensioni diverse. Quale dovrei usare come percorso di fiducia per nginx proxy_ssl_trusted_certificate .


lo stesso schema di file viene utilizzato anche in RHEL 7
maxschlepzig,

Risposte:


12

ca-bundle.trust.crt contiene certificati con "validazione estesa".

La differenza tra certificati "normali" e certificati con EV è che i certificati EV hanno bisogno di qualcosa di simile a una convalida personale o aziendale, vale a dire la convalida dell'identità di una persona tramite il suo passaporto.

Ciò significa che se si desidera ottenere un certificato, è necessario identificarsi con l'emittente del certificato tramite il passaporto. Se "sei" un'azienda, allora deve accadere una procedura equivalente (non la conosci esattamente). Questo è essenziale per l'online banking: devi essere sicuro che non solo il server a cui ti connetti sia certificato, ma anche che la banca sia certificata.

Per questo motivo gli eventi sono più "complicati" e contengono campi aggiuntivi per "identificare" non solo il server ma anche l'azienda.

Per tornare alla tua risposta: dipende dal tuo utilizzo. Molte persone dovrebbero usare ca-bundle.crt. Se "sei" una banca o un negozio online che necessita di un livello molto alto di certificazione e "fiducia", allora dovresti usare ca-bundle.trust.crt.


1

Dopo "esplodere" i bundle usando un piccolo script Perl , quindi eseguendo diff --side-by-sideil certificato del governo di Taiwan (ad esempio, preso solo perché è l'unico certificato nel bundle senza CNattributo nelle righe Issuere Subject) (usa SHA1 ma quello è ok ) vediamo la differenza:

  • Certificato da ca-bundle.trust.crtsinistra
  • Certificato da ca-bundle.crta destra
----- INIZIA CERTIFICATO DI AFFIDABILITÀ ----- | ----- INIZIA ATTESTATO -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhFAG
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njD / rEUNE
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- CERTIFICATO DI FINE FIDUCIA ----- | ----- CERTIFICATO DI FINE -----
Certificato: Certificato:
    Dati: Dati:
        Versione: 3 (0x2) Versione: 3 (0x2)
        Numero di serie: Numero di serie:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: E3: 5e: F6
        Algoritmo di firma: sha1WithRSAEncryption Algoritmo di firma: sha1WithRSAEncryption
        Emittente: C = TW, O = Aut di certificazione radice del governo Emittente: C = TW, O = Aut di certificazione radice del governo
        Validità Validità
            Non prima: 5 dic 13:23:33 2002 GMT Non prima: 5 dic 13:23:33 2002 GMT
            Non dopo: 5 dic 13:23:33 2032 GMT Non dopo: 5 dic 13:23:33 2032 GMT
        Oggetto: C = TW, O = certificazione radice del governo Au Oggetto: C = TW, O = certificazione radice del governo Au
        Informazioni sulla chiave pubblica del soggetto: Informazioni sulla chiave pubblica del soggetto:
            Algoritmo di chiave pubblica: rsaEncryption Algoritmo di chiave pubblica: rsaEncryption
                Chiave pubblica RSA: (4096 bit) Chiave pubblica RSA: (4096 bit)
                Modulo: Modulo:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
                    ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: C9
                    c1: 4a: 21 c1: 4a: 21
                Esponente: 65537 (0x10001) Esponente: 65537 (0x10001)
        Estensioni X509v3: Estensioni X509v3:
            Identificatore chiave oggetto X509v3: Identificatore chiave oggetto X509v3:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
            Vincoli di base X509v3: Vincoli di base X509v3:
                CA: TRUE CA: TRUE
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
    Algoritmo di firma: sha1WithRSAEncryption Algoritmo di firma: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
         ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Usi affidabili: <
  Protezione e-mail, autenticazione server Web TLS <
Nessun utilizzo rifiutato. <
Alias: Taiwan GRCA <
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.