Странные сертификаты при обновлении с помощью etckeeper в ArchLinux
Я только что обновил свой дистрибутив Arch и получил это:
create mode 120000 ca-certificates/extracted/cadir/02756ea4.0
create mode 120000 ca-certificates/extracted/cadir/2c11d503.0
create mode 120000 ca-certificates/extracted/cadir/32888f65.0
create mode 120000 ca-certificates/extracted/cadir/3929ec9f.0
create mode 120000 ca-certificates/extracted/cadir/451b5485.0
create mode 120000 ca-certificates/extracted/cadir/559f7c71.0
create mode 120000 ca-certificates/extracted/cadir/608a55ad.0
create mode 120000 ca-certificates/extracted/cadir/7719f463.0
create mode 120000 ca-certificates/extracted/cadir/87229d21.0
create mode 120000 ca-certificates/extracted/cadir/9168f543.0
create mode 120000 ca-certificates/extracted/cadir/9479c8c3.0
create mode 120000 ca-certificates/extracted/cadir/9c3323d4.0
create mode 100644 ca-certificates/extracted/cadir/Certplus_Root_CA_G1.pem
create mode 100644 ca-certificates/extracted/cadir/Certplus_Root_CA_G2.pem
create mode 100644 ca-certificates/extracted/cadir/Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
create mode 100644 ca-certificates/extracted/cadir/Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
create mode 100644 ca-certificates/extracted/cadir/OpenTrust_Root_CA_G1.pem
create mode 100644 ca-certificates/extracted/cadir/OpenTrust_Root_CA_G2.pem
create mode 100644 ca-certificates/extracted/cadir/OpenTrust_Root_CA_G3.pem
create mode 120000 ca-certificates/extracted/cadir/d8317ada.0
create mode 120000 ca-certificates/extracted/cadir/dc99f41e.0
create mode 120000 ssl/certs/02756ea4.0
create mode 120000 ssl/certs/2c11d503.0
create mode 120000 ssl/certs/32888f65.0
create mode 120000 ssl/certs/3929ec9f.0
create mode 120000 ssl/certs/451b5485.0
create mode 120000 ssl/certs/559f7c71.0
create mode 120000 ssl/certs/608a55ad.0
create mode 120000 ssl/certs/7719f463.0
create mode 120000 ssl/certs/87229d21.0
create mode 120000 ssl/certs/9168f543.0
create mode 120000 ssl/certs/9479c8c3.0
create mode 120000 ssl/certs/9c3323d4.0
create mode 120000 ssl/certs/Certplus_Root_CA_G1.pem
create mode 120000 ssl/certs/Certplus_Root_CA_G2.pem
create mode 120000 ssl/certs/Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
create mode 120000 ssl/certs/Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
create mode 120000 ssl/certs/OpenTrust_Root_CA_G1.pem
create mode 120000 ssl/certs/OpenTrust_Root_CA_G2.pem
create mode 120000 ssl/certs/OpenTrust_Root_CA_G3.pem
create mode 120000 ssl/certs/d8317ada.0
create mode 120000 ssl/certs/dc99f41e.0
но это очень странно, потому что это не какой-либо веб-сервер. Должен ли я беспокоиться о каких-либо вредоносных программ здесь?
1 ответ
Сертификаты CA не имеют ничего общего с тем, чтобы быть веб-сервером. В частности, они в основном нужны клиентам TLS, поскольку именно клиент заботится о проверке собственного сертификата сервера. Каждая ОС поставляется с таким списком.
Существует много вариантов использования TLS, не связанных с HTTP (например, почтовый трафик SMTP/IMAP), но даже один и тот же HTTPS используется многими не-веб-программами - например, многие pacman зеркала используют https://, поэтому также требуется сбор сертификатов CA.
В Arch Linux основной список "доверенных центров сертификации" ca-certificates-mozilla отколол Мозиллу nss пакет. Другими словами, это то же самое, что Mozilla вставляет в Firefox, поэтому вы можете перепроверить все вновь добавленные сертификаты против Bugzilla и очень часто против трекера ошибок Google Chromium (который поддерживает свой собственный список). Сертификаты OpenTrust/Certplus кажутся просто обновлениями ( bugzilla и chromium), как и сертификаты HARICA ( bugzilla).
Обратите внимание, что главные копии доверенных ЦС установлены в /usr/share/ca-certificates (не отслеживается etckeeper). Что вы видите в /etc это просто вывод автоматического преобразования в OpenSSL-совместимый формат (????????.0 символические ссылки, являющиеся "хэшированными" именами OpenSSL); см. страницу руководства update-ca-trust(8), чтобы узнать, как его обновить.