Respostas:
ca-bundle.trust.crt possui certificados com "validação estendida".
A diferença entre certificados "normais" e certificados com VE é que você precisa de algo como uma validação pessoal ou da empresa, ou seja, validando a identidade de uma pessoa pelo seu passaporte.
Isso significa que, se você deseja obter um certificado, precisará se identificar com o emissor do certificado, como seu passaporte. Se você é uma empresa, um procedimento equivalente (não o sei exatamente) deve acontecer. Isso é essencial para o banco on-line: você deve ter certeza de que não apenas o servidor ao qual você se conecta é certificado, mas também o banco .
Por esse motivo, os eventos são mais "complicados" e contêm campos adicionais para "identificar" não apenas o servidor, mas também a empresa.
Para voltar à sua resposta: Depende do seu uso. A maioria das pessoas deve usar ca-bundle.crt. Se você "é" um banco ou uma loja on-line que precisa de um nível muito alto de certificação e "confiança", use ca-bundle.trust.crt.
Depois de "explodir" os pacotes configuráveis usando um pequeno script Perl , em seguida, executar diff --side-by-sideo certificado do Governo de Taiwan (por exemplo, tomado apenas porque é o único certificado do pacote configurável sem CNatributo nas linhas Issuere Subject) (usa SHA1, mas é ok ) vemos a diferença:
ca-bundle.trust.crtesquerdaca-bundle.crtlado direito----- COMEÇAR CERTIFICADO CONFIÁVEL ----- | ----- COMEÇAR CERTIFICADO -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- CERTIFICADO DE CONFIANÇA FINAL ----- | ----- TERMINAR CERTIFICADO -----
Certificado: Certificado:
Dados: Dados:
Versão: 3 (0x2) Versão: 3 (0x2)
Número de série: Número de série:
1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
Algoritmo de assinatura: sha1WithRSAEncryption Algoritmo de assinatura: sha1WithRSAEncryption
Emissor: C = TW, O = Aut de certificação raiz do governo Emissor: C = TW, O = Aut de certificação raiz do governo
Validade Validade
Não antes: 5 de dezembro 13:23:33 2002 GMT Não antes: 5 de dezembro 13:23:33 2002 GMT
Não Depois: 5 de dezembro 13:23:33 2032 GMT Não Depois: 5 de dezembro 13:23:33 2032 GMT
Assunto: C = TW, O = Certificação raiz do governo Au Assunto: C = TW, O = certificação raiz do governo Au
Informações da chave pública do sujeito: Informações da chave pública do sujeito:
Algoritmo de chave pública: rsaEncryption Algoritmo de chave pública: rsaEncryption
Chave pública RSA: (4096 bits) Chave pública RSA: (4096 bits)
Módulo: Módulo:
00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
... ...
95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
c1: 4a: 21 c1: 4a: 21
Expoente: 65537 (0x10001) Expoente: 65537 (0x10001)
Extensões X509v3: Extensões X509v3:
Identificador da chave do assunto X509v3: Identificador da chave do assunto X509v3:
CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
Restrições básicas do X509v3: Restrições básicas do X509v3:
CA: TRUE CA: TRUE
setCext-hashedRoot: setCext-hashedRoot:
0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2,1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2,1
Algoritmo de assinatura: sha1WithRSAEncryption Algoritmo de assinatura: sha1WithRSAEncryption
40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
... ...
e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Usos confiáveis: <
Proteção de email, autenticação de servidor Web TLS <
Nenhum uso rejeitado. <
Alias: Taiwan GRCA <