Відповіді:
ca-bundle.trust.crt містить серти з "розширеною валідацією".
Різниця між "звичайними" сертами і сертами з EV - це те, що вам, Certs, EV, потрібно щось на зразок особистої або фірмової перевірки, тобто підтверджуючи особу людини за її паспортом.
Це означає, що якщо ви хочете отримати ev cert, вам доведеться ідентифікувати себе перед емітентом cert, тобто своїм паспортом. Якщо ви "є" компанією, тоді має відбутися рівнозначна процедура (не знаєте цього точно). Це найважливіше для інтернет-банкінгу: Ви повинні бути впевнені, що не тільки сервер, до якого Ви підключаєтесь, сертифікований, але і банк сертифікований.
Через це програми ev є більш "складними" і містять додаткові поля для "ідентифікації" не тільки сервера, але і компанії.
Щоб повернутися до своєї відповіді: Це залежить від вашого використання. Більшість людей повинні використовувати ca-bundle.crt. Якщо ви "є" банком або інтернет-магазином, який потребує дуже високого рівня сертифікації та "довіри", тоді вам слід використовувати ca-bundle.trust.crt.
Після "вибуху" пакетів за допомогою невеликого сценарію Perl , потім запустіть diff --side-by-side
сертифікат уряду Тайваню (як приклад, взятий лише тому, що це єдиний сертифікат в комплекті без CN
атрибута в Issuer
і Subject
рядках) (використовує SHA1, але це добре ) ми бачимо різницю:
ca-bundle.trust.crt
зліва зліваca-bundle.crt
праворуч від----- НАЧАЙТЕ ДОВЕРДЕНИЙ СЕРТИФІКАТ ----- | ----- НАЧАЙТЕ СЕРТИФІКАТ ----- MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkkkiB ... LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAe4njEn4n pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS ----- ЗАКОННИЙ СЕРТИФІКАТ ----- | ----- ЗАКОННИЙ СЕРТИФІКАТ ----- Сертифікат: Сертифікат: Дані: Дані: Версія: 3 (0x2) Версія: 3 (0x2) Серійний номер: Серійний номер: 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6 Алгоритм підпису: sha1WithRSAEncryption Алгоритм підпису: sha1WithRSAEncryption Емітент: C = TW, O = урядова сертифікація кореневих сертифікатів Aut Issue: C = TW, O = урядова коренева сертифікація Aut Термін дії Не раніше: 5 грудня 13:23:33 2002 GMT Не раніше: 5 грудня 13:23:33 2002 GMT Не після: 5 грудня 13:23:33 2032 GMT Не після: 5 грудня 13:23:33 2032 GMT Тема: C = TW, O = державна коренева сертифікація Au Тема: C = TW, O = державна коренева сертифікація Au Інформація про відкритий ключ предмета: Інформація про відкритий ключ предмета: Алгоритм відкритого ключа: rsaEncryption Алгоритм відкритого ключа: rsaEncryption Відкритий ключ RSA: (4096 біт) Відкритий ключ RSA: (4096 біт) Модуль: Модуль: 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5б: 59 ... ... 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9 c1: 4a: 21 c1: 4a: 21 Експонент: 65537 (0x10001) Експонент: 65537 (0x10001) Розширення X509v3: розширення X509v3: X509v3 Ідентифікатор ключа предмета: X509v3 Ідентифікатор ключа предмета: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: Основні обмеження X509v3: Основні обмеження X509v3: CA: ІСТИНА CA: ІСТИНА setCext-hashedRoot: setCext-hashedRoot: 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... г * ........ "... (6 .... 2.1 Алгоритм підпису: sha1WithRSAEncryption Алгоритм підпису: sha1WithRSAEncryption 40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b ... ... e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12 Довірені використання: < Захист електронної пошти, автентифікація веб-сервера TLS < Заборонено використовувати. < Псевдонім: Тайвань GRCA <