D'où provient la list des autorités de certificateion de Chrome?

Sur Fedora, je parle de la list affichée lorsque vous accédez aux parameters> gérer les certificates> onglet Autorités.

J'ai lu qu'il devrait être dans la database partagée NSS, mais cette command renvoie une list vide:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Ce sont des certificates embeddeds NSS . Ils sont fournis via une bibliothèque partagée: /usr/lib/libnssckbi.so (le path peut être différent sur votre système). C'est là que Chrome les obtient.
Vous pouvez les listr avec certutil comme ceci:

Faire un lien vers la bibliothèque dans ~/.pki/nssdb :

 ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Puis exécutez:

 certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Sortie:

 Certificate Nickname Trust Atsortingbutes SSL,S/MIME,JAR/XPI Builtin Object Token:GTE CyberTrust Global Root C,C,C Builtin Object Token:Thawte Server CA C,,C Builtin Object Token:Thawte Premium Server CA C,,C Builtin Object Token:Equifax Secure CA C,C,C Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C, Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C Builtin Object Token:GlobalSign Root CA C,C,C Builtin Object Token:GlobalSign Root CA - R2 C,C,C Builtin Object Token:ValiCert Class 1 VA C,C,C Builtin Object Token:ValiCert Class 2 VA C,C,C Builtin Object Token:RSA Root Certificate 1 C,C,C .................................................................. ..................................................................

Il les obtient du operating system sous-jacent. Vous pouvez lire à ce sujet ici:

Politique de certificate racine

extrait du lien ci-dessus

Google Chrome tente d'utiliser le magasin de certificates racine du operating system sous-jacent pour déterminer si un certificate SSL présenté par un site est effectivement fiable, à quelques exceptions près.

Cette page continue pour décrire qui contacter si vous êtes un fournisseur d'autorité de certificateion racine pour les différents systèmes d'exploitation, etc.

Les references

LinuxCertManagement
NSS Shared DB et LINUX

Dans le cas contraire, parce que vous avez besoin d'utiliser la list des autorités de certificateion racine, elles sont ici (malheureusement nommées uniquement par index):

Fichiers de certificate individuels

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Le gros file de certificates de Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Scripts pour parsingr le grand file de certificates

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Informations générales sur l'extraction du file de certificates de Mozilla

http://curl.haxx.se/docs/caextract.html