ローカルシステムのCA証明書をFirefoxに知らせるにはどうすればよいですか？

Question

最近、CAcertルート証明書がDebianから（より正確には、ca-certificatesパッケージから）削除されました。それらを保持したいので、ディレクトリをバックアップしました

/usr/share/ca-certificates/cacert.org/

アップグレード前に2つの.crtファイルを含み、にコピーしました

/usr/local/share/ca-certificates/cacert.org/

その後。次に、update-ca-certificatesを実行しました：

# update-ca-certificates Updating certificates in /etc/ssl/certs... 2 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d.... Adding debian:cacert.org_class3.pem Adding debian:cacert.org_root.pem done. done.

すべてうまくいったようです。ただし、Firefox（Iceweasel）は、CAcertによって署名された証明書を信頼できないものとして拒否します。

見逃したことはありますか？ Firefoxに実際にシステム証明書を再読み込みさせるには、何か特別なことをする必要がありますか？

yanychar · Answer

Firefoxはクリーンインストール後に動作します。 cert8.dbの証明書データベースが削除された場合、Firefoxの次回起動時に再生成されます。これは、CA証明書のシステム全体のデフォルトストレージがあることを強く示唆しています。

Firefoxのソースコード shows 組み込みのCA証明書は、実際にはfirefox実行可能ファイルにハードコードされています。それらは security/nss/lib/ckfw/builtins/certdata.txt にあります。

したがって、システム全体に証明書をインストールする方法はありません。ソースコードにパッチを適用すると、知的財産権の問題が発生する可能性があることに注意してください。