Da dove Chrome ottiene il suo elenco di autorità di certificazione?


21

Su Fedora, sto parlando dell'elenco visualizzato quando vai su Impostazioni> Gestisci certificati> scheda autorità.

Ho letto che dovrebbe essere nel database condiviso NSS, ma questo comando restituisce un elenco vuoto:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Risposte:


13

Quelli sono NSScertificati integrati. Sono forniti attraverso una libreria condivisa: /usr/lib/libnssckbi.so(il percorso potrebbe essere diverso sul tuo sistema). Ecco da dove vengono Chrome.
Potresti elencarli in certutilquesto modo:

Crea un collegamento alla libreria in ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Quindi eseguire:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Produzione:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

Li prende dal sistema operativo sottostante. Puoi leggerlo qui:

estratto dal link sopra

Google Chrome tenta di utilizzare l'archivio certificati radice del sistema operativo sottostante per determinare se un certificato SSL presentato da un sito è effettivamente affidabile, con alcune eccezioni.

Quella pagina continua per descrivere chi contattare se sei un provider CA principale per i vari sistemi operativi ecc.

Riferimenti


3

Nel caso in cui tu lo stia chiedendo perché in realtà hai bisogno di usare l'elenco delle CA principali, eccole (purtroppo nominate solo dall'indice):

File di certificati individuali

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Big File of Certificates di Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Script per analizzare il file di certificati di grandi dimensioni

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Informazioni generali sull'estrazione del file dei certificati di Mozilla

http://curl.haxx.se/docs/caextract.html

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.