Відповіді:
ca-bundle.trust.crt містить серти з "розширеною валідацією".
Різниця між "звичайними" сертами і сертами з EV - це те, що вам, Certs, EV, потрібно щось на зразок особистої або фірмової перевірки, тобто підтверджуючи особу людини за її паспортом.
Це означає, що якщо ви хочете отримати ev cert, вам доведеться ідентифікувати себе перед емітентом cert, тобто своїм паспортом. Якщо ви "є" компанією, тоді має відбутися рівнозначна процедура (не знаєте цього точно). Це найважливіше для інтернет-банкінгу: Ви повинні бути впевнені, що не тільки сервер, до якого Ви підключаєтесь, сертифікований, але і банк сертифікований.
Через це програми ev є більш "складними" і містять додаткові поля для "ідентифікації" не тільки сервера, але і компанії.
Щоб повернутися до своєї відповіді: Це залежить від вашого використання. Більшість людей повинні використовувати ca-bundle.crt. Якщо ви "є" банком або інтернет-магазином, який потребує дуже високого рівня сертифікації та "довіри", тоді вам слід використовувати ca-bundle.trust.crt.
Після "вибуху" пакетів за допомогою невеликого сценарію Perl , потім запустіть diff --side-by-sideсертифікат уряду Тайваню (як приклад, взятий лише тому, що це єдиний сертифікат в комплекті без CNатрибута в Issuerі Subjectрядках) (використовує SHA1, але це добре ) ми бачимо різницю:
ca-bundle.trust.crtзліва зліваca-bundle.crtправоруч від----- НАЧАЙТЕ ДОВЕРДЕНИЙ СЕРТИФІКАТ ----- | ----- НАЧАЙТЕ СЕРТИФІКАТ -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkkkiB
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAe4njEn4n
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- ЗАКОННИЙ СЕРТИФІКАТ ----- | ----- ЗАКОННИЙ СЕРТИФІКАТ -----
Сертифікат: Сертифікат:
Дані: Дані:
Версія: 3 (0x2) Версія: 3 (0x2)
Серійний номер: Серійний номер:
1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
Алгоритм підпису: sha1WithRSAEncryption Алгоритм підпису: sha1WithRSAEncryption
Емітент: C = TW, O = урядова сертифікація кореневих сертифікатів Aut Issue: C = TW, O = урядова коренева сертифікація Aut
Термін дії
Не раніше: 5 грудня 13:23:33 2002 GMT Не раніше: 5 грудня 13:23:33 2002 GMT
Не після: 5 грудня 13:23:33 2032 GMT Не після: 5 грудня 13:23:33 2032 GMT
Тема: C = TW, O = державна коренева сертифікація Au Тема: C = TW, O = державна коренева сертифікація Au
Інформація про відкритий ключ предмета: Інформація про відкритий ключ предмета:
Алгоритм відкритого ключа: rsaEncryption Алгоритм відкритого ключа: rsaEncryption
Відкритий ключ RSA: (4096 біт) Відкритий ключ RSA: (4096 біт)
Модуль: Модуль:
00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5б: 59
... ...
95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
c1: 4a: 21 c1: 4a: 21
Експонент: 65537 (0x10001) Експонент: 65537 (0x10001)
Розширення X509v3: розширення X509v3:
X509v3 Ідентифікатор ключа предмета: X509v3 Ідентифікатор ключа предмета:
CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
Основні обмеження X509v3: Основні обмеження X509v3:
CA: ІСТИНА CA: ІСТИНА
setCext-hashedRoot: setCext-hashedRoot:
0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... г * ........ "... (6 .... 2.1
Алгоритм підпису: sha1WithRSAEncryption Алгоритм підпису: sha1WithRSAEncryption
40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
... ...
e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Довірені використання: <
Захист електронної пошти, автентифікація веб-сервера TLS <
Заборонено використовувати. <
Псевдонім: Тайвань GRCA <