Chromeは認証局のリストをどこで入手できますか?

Chromeは認証局のリストをどこで入手できますか?

Fedoraで、設定>証明書の管理>権限のタブに移動すると、表示されるリストが表示されます。

NSS共有データベースに存在する必要があると読みましたが、このコマンドは空のリストを返します。

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

答え1

これはNSS組み込み証明書です。共有ライブラリを介して提供されます。 (/usr/lib/libnssckbi.soルートはシステムによって異なる場合があります。)Chromeから情報を取得する場所です。
次のようにリストできます。certutil

ライブラリへのリンクを作成します~/.pki/nssdb

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

次に、次を実行します。

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

出力:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

答え2

基本オペレーティングシステムから取得します。ここでこれについて読むことができます。

上記のリンクから来ました

Google Chromeは、一部の例外を除いて、基本オペレーティングシステムのルート証明書ストアを使用して、ウェブサイトから提供されたSSL証明書が実際に信頼できることを確認しようとします。

このページでは、さまざまなオペレーティングシステムなどのルートCAプロバイダの場合、誰に連絡する必要があるかを説明します。

引用する

答え3

実際にはルートCAリストを使用する必要があるため、この質問をする場合、そのリストはここにあります(残念ながら、インデックスとしてのみ名前が付けられています)。

個人証明書ファイル

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Mozillaの大容量証明書ファイル

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

大容量証明書ファイルを解析するスクリプト

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Mozilla証明書ファイルの抽出に関する一般情報

http://curl.haxx.se/docs/caextract.html

答え4

Googleが独自の「Chrome Root Store」を導入するにつれて、Chrome 107でこれが変わっているようです。

https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md

https://support.google.com/chrome/a/answer/7679408#certVerifRem107

関連情報