De onde o Chrome obtém sua lista de autoridades de certificação?

18

No Fedora, estou falando sobre a lista exibida quando você acessa as configurações > gerenciar certificados > guia autoridades.

Eu li que deve estar no banco de dados compartilhado do NSS, mas esse comando retorna uma lista vazia:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L
    
por laurent kubaski 31.05.2013 / 18:01

3 respostas

11

Esses são certificados internos de NSS . Eles são fornecidos por meio de uma biblioteca compartilhada: /usr/lib/libnssckbi.so (o caminho pode ser diferente em seu sistema). É daí que o Chrome os obtém.
Você poderia listá-los com certutil assim:

Faça um link para a biblioteca em ~/.pki/nssdb :

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Em seguida, execute:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Saída:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................
    
por 31.05.2013 / 22:26
7

Ela é obtida do sistema operacional subjacente. Você pode ler sobre isso aqui:

trecho do link acima

Google Chrome attempts to use the root certificate store of the underlying operating system to determine whether an SSL certificate presented by a site is indeed trustworthy, with a few exceptions.

Essa página continua descrevendo quem contatar se você for um provedor de CA raiz para os vários sistemas operacionais, etc.

Referências

por 31.05.2013 / 21:40
2

Na chance que você está perguntando porque você realmente precisa usar a lista de CAs raiz, aqui estão elas (infelizmente nomeadas apenas pelo índice):

Arquivos de certificados individuais

link

Arquivo grande de certificados da Mozilla

link

Scripts para analisar o grande arquivo de certificados

link

link

link

Informações gerais sobre como extrair o arquivo de certificados da Mozilla

link

    
por 08.03.2014 / 01:52