Chrome은 인증 기관 목록을 어디서 얻나요?

Chrome은 인증 기관 목록을 어디서 얻나요?

Fedora에서 설정 > 인증서 관리 > 권한 탭으로 이동하면 나타나는 목록을 말하는 것입니다.

NSS 공유 데이터베이스에 있어야 한다고 읽었지만 이 명령은 빈 목록을 반환합니다.

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

답변1

이는 NSS내장된 인증서입니다. 공유 라이브러리를 통해 제공됩니다. ( /usr/lib/libnssckbi.so경로는 시스템에 따라 다를 수 있습니다.) Chrome에서 정보를 가져오는 곳입니다.
다음과 같이 나열 할 수 있습니다 .certutil

라이브러리에 대한 링크를 만듭니다 ~/.pki/nssdb.

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

그런 다음 다음을 실행하십시오.

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

산출:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

답변2

기본 운영 체제에서 가져옵니다. 여기에서 이에 대해 읽을 수 있습니다.

위 링크에서 따왔습니다

Google 크롬은 일부 예외를 제외하고 기본 운영 체제의 루트 인증서 저장소를 사용하여 웹사이트에서 제공한 SSL 인증서가 실제로 신뢰할 수 있는지 확인하려고 시도합니다.

이 페이지에서는 다양한 운영 체제 등에 대한 루트 CA 공급자인 경우 누구에게 연락해야 하는지 설명합니다.

인용하다

답변3

실제로 루트 CA 목록을 사용해야 하기 때문에 이 질문을 하는 경우 해당 목록은 여기에 있습니다(안타깝게도 색인으로만 이름이 지정됨).

개인 인증서 파일

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Mozilla의 대용량 인증서 파일

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

대용량 인증서 파일을 구문 분석하는 스크립트

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Mozilla 인증서 파일 추출에 대한 일반 정보

http://curl.haxx.se/docs/caextract.html

답변4

Google이 자체 "Chrome Root Store"를 도입함에 따라 Chrome 107에서 이것이 변경되는 것 같습니다.

https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md

https://support.google.com/chrome/a/answer/7679408#certVerifRem107

관련 정보