# firefox und eingebaute zertifikate

## backus

gibt es eine möglichkeit firefox zu zu kompilieren, daß die zertifikate nicht fest eingebaut sind, sondern beispielsweise jene zertifikate verwendet werden, die ohnehin schon auf meinem rechner sind: "/usr/share/ca-certificates/mozilla"? oder läßt dich wenigstens steuern, welche zertifikate eingebaut werden, ohne das man extrem in den quellcode eingreifen muß?

----------

## backus

update: kann es sein, das unter gentoo die zertifikate für firefox gar nicht fest eingebaut sind, sondern woanders herkommen?

update2: ich habe inzwischen rausbekommen, das die zertifikate, die firefox nutzt (und auch viele andere anwendungen: chromium, seamonkey, ...) wohl aus der bibliothek nss kommen. allerdings weis ich, das im firefox code selbst auch noch ein haufen zertifikate enthalten sind. und dann gibt es ja auch noch das paket ca-certificates. warum so viel redundanz? werden die zertifikate im forefox code jetzt eigentlich mitkompiliert/verwendet (läßt sich das über flags beim "configure" steuern)? und greift eigentlich überhaupt irgendein programm auf "/usr/share/ca-certificates/mozilla" zu, wenn nein: warum nicht?

wenn jemand mehr über diesen zertifikat-irrsinn weiß, immer raus damit...

----------

## Christian99

die zertifikate in /usr/share/ca-certificates/mozilla gehören gar nicht zum firefox, sondern zum ca-certificates paket, während firefox gar keine zertifikate installiert.

ich vermute mal, dass ca-certificates eine Sammlung von zertifikaten aus verschidenen quellen ist, unter anderem mozilla.

Vermutlich werden dann mit apps mitgelieferte zertifikate nicht mit installiert, sondern auf die durch ca-certificates gestelletn zurückgergriffen. also keine redundanz.

----------

## ChrisJumper

Nun ich gehe mal davon auch das du dich dies fragst weil es in den letzten Wochen Probleme mit einer Certificate Authority gab.

Aber warum verwendest du nicht einfach die Zertifikat-Verwaltung im Firefox? Dort kann man auch einer Zertifizierungsstelle das vertrauen entziehen.

Ich frage mich allerdings wie das gerade Systemweit für alle Nutzer geht.

----------

## backus

 *Christian99 wrote:*   

> die zertifikate in /usr/share/ca-certificates/mozilla gehören gar nicht zum firefox, sondern zum ca-certificates paket, während firefox gar keine zertifikate installiert.
> 
> ich vermute mal, dass ca-certificates eine Sammlung von zertifikaten aus verschidenen quellen ist, unter anderem mozilla.
> 
> Vermutlich werden dann mit apps mitgelieferte zertifikate nicht mit installiert, sondern auf die durch ca-certificates gestelletn zurückgergriffen. also keine redundanz.

 

firefox greift eben gerade NICHT auf das packet ca-certificates zu (ggf. kann man das ja beim kompileren umbiegen, aber ich wüßte nicht wie). firefox bezieht seine zertifikate aus der datei libnsssckbi.so (ersichtlich unter: preferences / advanced / encryption / security devices / builtin roots module). dann gibt es dort noch einen eintrag "nss internal pkcs #11 module"... woher die dann kommen weiß ich nicht (vermutlich aus dem firefox code selbst).

wie schon gesagt, fände ich es gut und richtig, wenn firefox auf ca-certificates referenzieren würde, aber benutzt wird nunmal nss. die dort enthaltenen zertifikate kommen aus dem nss quellcode: ${nss-src}/mozilla/security/nss/lib/ckfw/builtins/certdata.[c|txt]. und der firefox code enthält wie gesagt auch zertifikate, von denen ich nicht weiß, ob bzw. welche in die ausführbare datei eingebaut werden: ${mozilla-src}/security/nss/lib/ckfw/builtins/certdata.[c|txt].

@ChrisJumper

klar man kann besimmten zertifikaten im "user space" immer das vertrauen entziehen, aber deswegen sind sie systemweit immernoch da. soweit ich mich beispielsweise an das diginotar-desaster erinnere, war gentoo einer der ersten linux distributionen, die ein aktualisiertes ca-certificates veröffentlicht haben, bei dem die entspechenden zertifikate entfernt wurden... vorbildlich... aber was nützt es wenn der browser sich gar nicht darauf bezieht, sondern sein eigenes zeug dabei hat, oder sich eben auf nss bezieht?!

----------

