security - cacert.pem 是我的计算机独有的吗？

Question

我目前认为 cacert.pem 是一组 key ，我可以使用它们来检查我正在与之交谈的网站是否确实是它声称的网站。因此，如果我向某人发送依赖于 cacert.pem 的程序，我可以向他们发送我计算机上的一个版本，这对我没有安全威胁。

唯一的安全威胁是他们，如果我给他们发送一个虚假的 cacert.pem。

这是否正确？我可以安全地将计算机上的 cacert.pem 版本发送给另一个可能不受信任的人吗？

编辑:

正如 Steffen 所指出的，cacert.pem 可以引用任何文件。我特别指的是在 Requests Python 包中找到的那个。

Answer 1

我不知道你说的是哪个 cacert.pem 文件，但是 BSD 上的 /etc/ssl/cacert.pem 或者 /etc Linux 上的/ssl/certs 文件夹仅包含受信任证书机构的公共(public)列表，用于验证对 SSL 连接的信任。这些文件中没有 secret ，通常它们甚至不是系统特定的(尽管可以添加或删除 CA 来管理自己的信任设置)。

但同样，我不知道您的 cacert.pem 文件包含什么，因为此文件名没有固有的语义。如果它还包含私钥，则绝对不要将其提供给其他人。