Откуда Chrome получает свой список центров сертификации?

21

В Fedora я говорю о списке, который отображается при переходе в настройки> управлять сертификатами> вкладка «Права доступа».

Я читал, что он должен быть в общей базе данных NSS, но эта команда возвращает пустой список:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L
Лоран Кубаски
источник

Ответы:

13

Это NSSвстроенные сертификаты. Они предоставляются через общую библиотеку: /usr/lib/libnssckbi.so(путь может отличаться в вашей системе). Вот откуда Chrome их получает.
Вы можете перечислить их certutilтак:

Сделайте ссылку на библиотеку в ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Затем запустите:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Выход:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................
don_crissti
источник
9

Он получает их из базовой операционной системы. Вы можете прочитать об этом здесь:

выдержка из ссылки выше

Google Chrome пытается использовать хранилище корневых сертификатов базовой операционной системы, чтобы определить, действительно ли сертификат SSL, представленный сайтом, действительно заслуживает доверия, за некоторыми исключениями.

На этой странице описывается, к кому обращаться, если вы являетесь поставщиком корневого ЦС для различных ОС и т. Д.

Ссылки

SLM
источник
3

Если вы спросите, потому что вам действительно нужно использовать список корневых центров сертификации, они здесь (к сожалению, названы только индексом):

Индивидуальные файлы сертификатов

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Большая папка сертификатов Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Скрипты для разбора большого файла сертификатов

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Общая информация о распаковке файла сертификатов Mozilla

http://curl.haxx.se/docs/caextract.html

CoolAJ86
источник