Chrome lấy danh sách các cơ quan cấp chứng chỉ từ đâu?

Trên Fedora, tôi đang nói về danh sách được hiển thị khi bạn đi tới cài đặt> quản lý chứng chỉ> tab chính quyền.

Tôi đã đọc rằng nó phải nằm trong DB chia sẻ NSS, nhưng lệnh này trả về một danh sách trống:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Đó là NSSnhững chứng chỉ tích hợp. Chúng được cung cấp thông qua một thư viện dùng chung: /usr/lib/libnssckbi.so(đường dẫn có thể khác trên hệ thống của bạn). Đó là nơi Chrome lấy chúng từ đó.
Bạn có thể liệt kê chúng certutilnhư thế này:

Tạo một liên kết đến thư viện trong ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Sau đó chạy:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Đầu ra:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

Nó nhận được chúng từ hệ điều hành cơ bản. Bạn có thể đọc nó ở đây:

• Chính sách chứng chỉ gốc

trích từ liên kết trên

Google Chrome cố gắng sử dụng kho chứng chỉ gốc của hệ điều hành cơ bản để xác định xem chứng chỉ SSL được trình bày bởi một trang web có thực sự đáng tin hay không, với một vài ngoại lệ.

Trang đó tiếp tục mô tả người liên hệ nếu bạn là nhà cung cấp CA gốc cho các hệ điều hành khác nhau, v.v.

Tài liệu tham khảo

• Quản lý Linux
• NSS chia sẻ DB và LINUX

Trong trường hợp bạn đang hỏi vì bạn thực sự cần sử dụng danh sách các CA gốc, thì đây là (không may chỉ được đặt tên theo chỉ mục):

Tệp chứng chỉ cá nhân

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Tập tin chứng chỉ lớn của Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Các kịch bản để phân tích các tệp chứng chỉ lớn

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Thông tin chung về giải nén tập tin chứng chỉ của Mozilla

http://curl.haxx.se/docs/caextract.html