D'où Chrome obtient-il sa liste d'autorités de certification?


21

Sur Fedora, je parle de la liste affichée lorsque vous allez dans les paramètres> gérer les certificats> onglet autorités.

J'ai lu que cela devrait être dans la base de données partagée NSS, mais cette commande renvoie une liste vide:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Réponses:


13

Ce sont NSSdes certificats intégrés. Ils sont fournis via une bibliothèque partagée: /usr/lib/libnssckbi.so(le chemin peut être différent sur votre système). C'est de là que Chrome les tire.
Vous pouvez les lister certutilcomme ceci:

Faites un lien vers la bibliothèque dans ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Exécutez ensuite:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Production:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

Il les obtient du système d'exploitation sous-jacent. Vous pouvez lire à ce sujet ici:

extrait du lien ci-dessus

Google Chrome tente d'utiliser le magasin de certificats racine du système d'exploitation sous-jacent pour déterminer si un certificat SSL présenté par un site est vraiment fiable, à quelques exceptions près.

Cette page décrit ensuite qui contacter si vous êtes un fournisseur d'autorité de certification racine pour les différents systèmes d'exploitation, etc.

Les références


3

Dans le cas où vous poseriez une question parce que vous avez réellement besoin d'utiliser la liste des autorités de certification racine, les voici (malheureusement nommées uniquement par index):

Fichiers de certificats individuels

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Le grand fichier de certificats de Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Scripts pour analyser le gros fichier de certificats

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Informations générales sur l'extraction du fichier de certificats de Mozilla

http://curl.haxx.se/docs/caextract.html

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.