在安装Eclipse(使用Eclipse Installer)时,我被问到“您是否信任这些证书?”,列出了两个由Sun签名的Bouncy Castle证书(一个由Oracle签名),以及一个由Sun签名的Eclipse证书。如何验证这些证书?
我知道这些是用于JCE(Java加密扩展)的代码签名证书,即由Oracle签署的用于加密、密钥生成和协商以及消息认证码(MAC)算法的证书(链接1)。我还知道Bouncy Castle通常用于提供与加密相关的算法(链接3)。
两个问题:
- 所有证书都是由同两个CA签名的,但我找不到“官方”CA证书指纹的(公开)列表。我该如何验证这些证书?
- JCE代码签名CA,由Sun Microsystems Inc颁发和颁发给,有效期至2020-04-25,指纹为57:37:D1:E1:16:2F:F6:FE:26:B9:87:88:D2:86:DA:66:7F:98:54:3C
- JCE代码签名CA,由Oracle Corporation颁发和颁发给,有效期至2030-12-31,指纹为F4:B9:C6:4A:52:AD:22:3C:E4:BF:BA:52:52:87:9C:9F:71:1D:4B:33
- 为什么这些CA默认不受信任,即未包含在JDK/JRE提供的某个信任存储中?这些CA由Oracle运营(至少CA证书如此),我使用的JRE由Oracle(openjdk 11.0.2)提供,我看不出这些CA不应该受信任(如果它们确实合法)。