Sur Fedora, je parle de la list affichée lorsque vous accédez aux parameters> gérer les certificates> onglet Autorités.
J'ai lu qu'il devrait être dans la database partagée NSS, mais cette command renvoie une list vide:
[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L
Ce sont des certificates embeddeds NSS
. Ils sont fournis via une bibliothèque partagée: /usr/lib/libnssckbi.so
(le path peut être différent sur votre système). C'est là que Chrome les obtient.
Vous pouvez les listr avec certutil
comme ceci:
Faire un lien vers la bibliothèque dans ~/.pki/nssdb
:
ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb
Puis exécutez:
certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'
Sortie:
Certificate Nickname Trust Atsortingbutes SSL,S/MIME,JAR/XPI Builtin Object Token:GTE CyberTrust Global Root C,C,C Builtin Object Token:Thawte Server CA C,,C Builtin Object Token:Thawte Premium Server CA C,,C Builtin Object Token:Equifax Secure CA C,C,C Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C, Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C Builtin Object Token:GlobalSign Root CA C,C,C Builtin Object Token:GlobalSign Root CA - R2 C,C,C Builtin Object Token:ValiCert Class 1 VA C,C,C Builtin Object Token:ValiCert Class 2 VA C,C,C Builtin Object Token:RSA Root Certificate 1 C,C,C .................................................................. ..................................................................
Il les obtient du operating system sous-jacent. Vous pouvez lire à ce sujet ici:
extrait du lien ci-dessus
Google Chrome tente d'utiliser le magasin de certificates racine du operating system sous-jacent pour déterminer si un certificate SSL présenté par un site est effectivement fiable, à quelques exceptions près.
Cette page continue pour décrire qui contacter si vous êtes un fournisseur d'autorité de certificateion racine pour les différents systèmes d'exploitation, etc.
Dans le cas contraire, parce que vous avez besoin d'utiliser la list des autorités de certificateion racine, elles sont ici (malheureusement nommées uniquement par index):
https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems
http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1
https://github.com/coolaj86/node-ssl-root-cas
https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl
http://curl.haxx.se/docs/mk-ca-bundle.html