Chromeはどこから認証局のリストを取得しますか?


21

Fedoraでは、[設定]> [証明書の管理]> [権限]タブに移動したときに表示されるリストについて説明しています。

NSS共有DBにあるべきだと読みましたが、このコマンドは空のリストを返します。

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

回答:


13

これらはNSS組み込みの証明書です。これらは共有ライブラリを介して提供されます:(/usr/lib/libnssckbi.soシステムによってパスが異なる場合があります)。そこでChromeがそれらを取得します。
次のcertutilようにリストできます:

にライブラリへのリンクを作成します~/.pki/nssdb

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

次に実行します:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

出力:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

基盤となるオペレーティングシステムから取得します。あなたはそれについてここで読むことができます:

上記のリンクからの抜粋

Google Chromeは、いくつかの例外を除き、基盤となるオペレーティングシステムのルート証明書ストアを使用して、サイトによって提示されたSSL証明書が本当に信頼できるかどうかを判断しようとします。

そのページでは、さまざまなOSなどのルートCAプロバイダーである場合に連絡する相手について説明しています。

参照資料


3

ルートCAのリストを実際に使用する必要があるために、あなたが尋ねる可能性がありますが、それらはここにあります(残念ながらインデックスによってのみ名前が付けられています):

個別の証明書ファイル

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Mozillaの証明書の大きなファイル

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

証明書の大きなファイルを解析するスクリプト

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Mozillaの証明書ファイルの抽出に関する一般情報

http://curl.haxx.se/docs/caextract.html

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.