Dari mana Chrome mendapatkan daftar otoritas sertifikatnya?


21

Pada Fedora, saya berbicara tentang daftar yang ditampilkan ketika Anda pergi ke pengaturan> kelola sertifikat> tab otoritas.

Saya telah membaca bahwa itu harus dalam DB bersama NSS, tetapi perintah ini mengembalikan daftar kosong:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Jawaban:


13

Itu adalah NSSsertifikat bawaan. Mereka disediakan melalui pustaka bersama: /usr/lib/libnssckbi.so(jalur mungkin berbeda di sistem Anda). Dari situlah Chrome mendapatkannya.
Anda dapat mendaftar mereka dengan certutilseperti ini:

Buat tautan ke perpustakaan di ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Lalu lari:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Keluaran:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

Mereka mendapatkannya dari sistem operasi yang mendasarinya. Anda dapat membacanya di sini:

kutipan dari tautan di atas

Google Chrome mencoba menggunakan penyimpanan sertifikat root dari sistem operasi yang mendasarinya untuk menentukan apakah sertifikat SSL yang disajikan oleh suatu situs memang dapat dipercaya, dengan beberapa pengecualian.

Halaman itu selanjutnya menjelaskan siapa yang harus dihubungi jika Anda adalah penyedia CA root untuk berbagai OS dll.

Referensi


3

Jika Anda bertanya karena Anda benar-benar perlu menggunakan daftar root CA, ini dia (sayangnya hanya disebutkan oleh indeks):

File Sertifikat Individu

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

File Besar Sertifikat Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Script untuk Mengurai File Besar Sertifikat

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Informasi Umum tentang mengekstraksi File Sertifikat Mozilla

http://curl.haxx.se/docs/caextract.html

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.