Certificados estranhos ao atualizar com o etckeeper no ArchLinux

1

Acabei de atualizar minha distribuição de arco e consegui isto:

create mode 120000 ca-certificates/extracted/cadir/02756ea4.0
create mode 120000 ca-certificates/extracted/cadir/2c11d503.0
create mode 120000 ca-certificates/extracted/cadir/32888f65.0
create mode 120000 ca-certificates/extracted/cadir/3929ec9f.0
create mode 120000 ca-certificates/extracted/cadir/451b5485.0
create mode 120000 ca-certificates/extracted/cadir/559f7c71.0
create mode 120000 ca-certificates/extracted/cadir/608a55ad.0
create mode 120000 ca-certificates/extracted/cadir/7719f463.0
create mode 120000 ca-certificates/extracted/cadir/87229d21.0
create mode 120000 ca-certificates/extracted/cadir/9168f543.0
create mode 120000 ca-certificates/extracted/cadir/9479c8c3.0
create mode 120000 ca-certificates/extracted/cadir/9c3323d4.0
create mode 100644 ca-certificates/extracted/cadir/Certplus_Root_CA_G1.pem
create mode 100644 ca-certificates/extracted/cadir/Certplus_Root_CA_G2.pem
create mode 100644 ca-certificates/extracted/cadir/Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
create mode 100644 ca-certificates/extracted/cadir/Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
create mode 100644 ca-certificates/extracted/cadir/OpenTrust_Root_CA_G1.pem
create mode 100644 ca-certificates/extracted/cadir/OpenTrust_Root_CA_G2.pem
create mode 100644 ca-certificates/extracted/cadir/OpenTrust_Root_CA_G3.pem
create mode 120000 ca-certificates/extracted/cadir/d8317ada.0
create mode 120000 ca-certificates/extracted/cadir/dc99f41e.0
create mode 120000 ssl/certs/02756ea4.0
create mode 120000 ssl/certs/2c11d503.0
create mode 120000 ssl/certs/32888f65.0
create mode 120000 ssl/certs/3929ec9f.0
create mode 120000 ssl/certs/451b5485.0
create mode 120000 ssl/certs/559f7c71.0
create mode 120000 ssl/certs/608a55ad.0
create mode 120000 ssl/certs/7719f463.0
create mode 120000 ssl/certs/87229d21.0
create mode 120000 ssl/certs/9168f543.0
create mode 120000 ssl/certs/9479c8c3.0
create mode 120000 ssl/certs/9c3323d4.0
create mode 120000 ssl/certs/Certplus_Root_CA_G1.pem
create mode 120000 ssl/certs/Certplus_Root_CA_G2.pem
create mode 120000 ssl/certs/Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
create mode 120000 ssl/certs/Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
create mode 120000 ssl/certs/OpenTrust_Root_CA_G1.pem
create mode 120000 ssl/certs/OpenTrust_Root_CA_G2.pem
create mode 120000 ssl/certs/OpenTrust_Root_CA_G3.pem
create mode 120000 ssl/certs/d8317ada.0
create mode 120000 ssl/certs/dc99f41e.0

mas é muito estranho porque este não é um servidor de qualquer tipo. Eu deveria estar preocupado com algum tipo de malware aqui?

    
por Chisko 15.07.2016 / 06:46

1 resposta

1

Certificados de CA não têm nada a ver com ser um servidor da web . Em particular, eles são necessários principalmente por TLS clientes , já que é o cliente que se preocupa em verificar o próprio certificado do servidor. Todos os sistemas operacionais são fornecidos com essa lista.

Existem muitos usos não HTTP de TLS (como o tráfego de e-mail SMTP / IMAP), mas até mesmo o mesmo HTTPS é usado por muitos programas não "web" - por exemplo, muitos pacman espelhos usam https: //, portanto, também precisam da coleção de certificados de CA.

No Arch Linux, a lista principal de "autoridades de certificação confiáveis" é ca-certificates-mozilla , dividida do pacote nss do Mozilla. Em outras palavras, é o mesmo que o Mozilla coloca no Firefox, assim você pode cruzar todos os certificados recém-adicionados contra Bugzilla e muitas vezes contra o rastreador de bugs do Google do Google (que mantém sua própria lista). Os certificados OpenTrust / Certplus parecem ser apenas renovações ( bugzilla e chromium ), assim como o HARICA ( bugzilla ).

Observe que as cópias mestras de CAs confiáveis são instaladas em /usr/share/ca-certificates (não rastreado pelo etckeeper). O que você está vendo em /etc é meramente a saída da conversão automatizada em formato compatível com OpenSSL (os links simbólicos ????????.0 sendo OpenSSL "hashed"); veja a página de manual update-ca-trust (8) para saber como atualizá-lo.

    
por 15.07.2016 / 07:15