Звідки Chrome отримує свій список органів сертифікації?

У Fedora я кажу про список, який відображається, коли ви переходите до налаштувань> керувати сертифікатами> вкладка повноважень.

Я читав, що він повинен бути в спільному БД NSS, але ця команда повертає порожній список:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Це NSSвбудовані сертифікати. Вони надаються через спільну бібліотеку: /usr/lib/libnssckbi.so(шлях може бути різним у вашій системі). Ось звідки їх отримує Chrome.
Ви можете перелічити їх certutilтак:

Зробіть посилання на бібліотеку ~/.pki/nssdb:

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

Потім запустіть:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Вихід:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

Отримує їх з базової операційної системи. Про це ви можете прочитати тут:

• Політика щодо кореневих сертифікатів

уривок зверху посилання

Google Chrome намагається використовувати кореневий сховище сертифікатів базової операційної системи, щоб визначити, чи справді сертифікат SSL, представлений веб-сайтом, є надійним, за кількома винятками.

На цій сторінці описано, до кого звертатися, якщо ви постачальник кореневих служб для різних ОС тощо.

Список літератури

• LinuxCertManagement
• Спільні DB та LINUX

За випадковості, про яку ви запитуєте, тому що вам фактично потрібно скористатися списком кореневих ЦО, ось вони (на жаль, названі лише за індексом):

Індивідуальні файли сертифікатів

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Великий файл сертифікатів Mozilla

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

Сценарії для розбору великого файлу сертифікатів

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Загальна інформація про вилучення файлу сертифікатів Mozilla

http://curl.haxx.se/docs/caextract.html