Woher bezieht Chrome die Liste der Zertifizierungsstellen?


21

Unter Fedora geht es um die Liste, die angezeigt wird, wenn Sie zu Einstellungen> Zertifikate verwalten> Registerkarte Berechtigungen wechseln.

Ich habe gelesen, dass es in der gemeinsam genutzten NSS-Datenbank sein sollte, aber dieser Befehl gibt eine leere Liste zurück:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Antworten:


13

Das sind NSSeingebaute Zertifikate. Sie werden über eine gemeinsam genutzte Bibliothek bereitgestellt: /usr/lib/libnssckbi.so(Pfad kann auf Ihrem System unterschiedlich sein). Von dort bezieht Chrome sie.
Sie könnten sie certutilso auflisten:

Stellen Sie einen Link zur Bibliothek her in ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Dann renne:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Ausgabe:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

Sie werden vom zugrunde liegenden Betriebssystem bezogen. Hier können Sie darüber lesen:

Auszug aus dem obigen Link

Google Chrome versucht, mithilfe des Stammzertifikatsspeichers des zugrunde liegenden Betriebssystems zu ermitteln, ob ein von einer Site vorgelegtes SSL-Zertifikat mit wenigen Ausnahmen tatsächlich vertrauenswürdig ist.

Auf dieser Seite wird beschrieben, an wen Sie sich wenden können, wenn Sie ein Root-CA-Anbieter für die verschiedenen Betriebssysteme usw. sind.

Verweise


3

In der Off-Chance, dass Sie fragen, weil Sie die Liste der Stammzertifizierungsstellen tatsächlich verwenden müssen, sind sie hier (leider nur nach Index benannt):

Einzelne Zertifikatsdateien

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Mozillas große Zertifikatsdatei

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Skripte zum Analysieren der großen Zertifikatsdatei

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Allgemeine Informationen zum Extrahieren der Mozilla-Zertifikatsdatei

http://curl.haxx.se/docs/caextract.html

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.