¿De dónde obtiene Chrome su lista de autoridades de certificación?

21

En Fedora, estoy hablando de la lista que se muestra cuando vas a la pestaña configuración> administrar certificados> autoridades.

He leído que debería estar en la base de datos compartida de NSS, pero este comando devuelve una lista vacía:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L
fedora  chrome  certificates 
Laurent Kubaski
fuente

Respuestas:

13

Esos son NSScertificados incorporados. Se proporcionan a través de una biblioteca compartida: /usr/lib/libnssckbi.so(la ruta puede ser diferente en su sistema). Ahí es donde Chrome los obtiene.
Podrías enumerarlos certutilasí:

Haga un enlace a la biblioteca en ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Entonces corre:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Salida:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................
don_crissti
fuente
9

Los obtiene del sistema operativo subyacente. Usted puede leer sobre ello aquí:

extracto del enlace de arriba

Google Chrome intenta usar el almacén de certificados raíz del sistema operativo subyacente para determinar si un certificado SSL presentado por un sitio es realmente confiable, con algunas excepciones.

Esa página continúa describiendo a quién contactar si usted es un proveedor de CA raíz para los diversos sistemas operativos, etc.

Referencias

slm
fuente
3

En el caso de que pregunte porque realmente necesita usar la lista de CA raíz, aquí están (lamentablemente, solo se mencionan por índice):

Archivos de certificados individuales

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

El gran archivo de certificados de Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Scripts para analizar el gran archivo de certificados

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Información general sobre la extracción del archivo de certificados de Mozilla

http://curl.haxx.se/docs/caextract.html

CoolAJ86
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.