Chrome 从哪里获取证书颁发机构列表?

tag-icon tag-icon fedora chrome certificates
Chrome 从哪里获取证书颁发机构列表?

在 Fedora 上,我指的是当您转到设置 > 管理证书 > 权限选项卡时显示的列表。

我读到它应该位于 NSS 共享数据库中,但此命令返回一个空列表:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

答案1

这些是NSS内置证书。它们是通过共享库提供的:(/usr/lib/libnssckbi.so您的系统上的路径可能不同)。这就是 Chrome 获取它们的地方。你可以这样
列出它们:certutil

建立一个到库的链接~/.pki/nssdb

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

然后运行:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

输出:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

答案2

它从底层操作系统获取它们。你可以在这里读到它:

摘自上面的链接

Google Chrome 尝试使用底层操作系统的根证书存储来确定网站提供的 SSL 证书是否确实值得信赖,但有一些例外。

该页面继续描述如果您是各种操作系统等的根 CA 提供商,应联系谁。

参考

答案3

如果您问这个问题是因为您实际上需要使用根 CA 列表,它们在这里(不幸的是仅按索引命名):

个人证书文件

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Mozilla 的大证书文件

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

解析大证书文件的脚本

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

有关提取 Mozilla 证书文件的一般信息

http://curl.haxx.se/docs/caextract.html

答案4

看起来这在 Chrome 107 中发生了变化,因为谷歌引入了自己的“Chrome Root Store”

https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md

https://support.google.com/chrome/a/answer/7679408#certVerifRem107

相关内容