Chrome, sertifika yetkilileri listesini nereden alıyor?


21

Fedora'da, ayarlar> sertifikaları yönet> yetkililer sekmesine gittiğinizde görüntülenen listeden bahsediyorum.

Ben NSS paylaşılan DB olması gerektiğini okudum, ancak bu komut boş bir liste döndürür:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Yanıtlar:


13

Bunlar NSSyerleşik sertifikalardır. Bunlar paylaşılan bir kütüphane aracılığıyla sağlanır: /usr/lib/libnssckbi.so(yol sisteminizde farklı olabilir). Chrome onları buradan alır.
Bunları şu şekilde listeleyebilirsiniz certutil:

Kütüphaneye şu bağlantıyı verin ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

O zaman koş:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Çıktı:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

Onları temeldeki işletim sisteminden alıyor. Burada okuyabilirsiniz:

yukarıdaki bağlantıdan alıntı

Google Chrome, birkaç istisna dışında, bir site tarafından sunulan bir SSL sertifikasının gerçekten güvenilir olup olmadığını belirlemek için temel işletim sisteminin kök sertifika deposunu kullanmaya çalışır.

Bu sayfa, çeşitli işletim sistemleri vb. İçin kök CA sağlayıcısıysanız kiminle iletişime geçeceğinizi açıklar.

Referanslar


3

Aslında kök CA'ların listesini kullanmanız gerektiği için sorma olasılığınızda, işte buradalar (maalesef yalnızca dizin tarafından adlandırılmıştır):

Bireysel Sertifika Dosyaları

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Mozilla'nın Büyük Sertifika Dosyası

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Sertifikaların Büyük Dosyasını Ayrıştıracak Komut Dosyaları

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Mozilla Sertifika Dosyasını Ayıklama Hakkında Genel Bilgiler

http://curl.haxx.se/docs/caextract.html

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.