src/net/data/ssl/certificates/README

   1 This directory contains various certificates for use with SSL-related
   2 unit tests.
   3
   4 - google.binary.p7b
   5 - google.chain.pem
   6 - google.pem_cert.p7b
   7 - google.pem_pkcs7.p7b
   8 - google.pkcs7.p7b
   9 - google.single.der
  10 - google.single.pem
  11 - thawte.single.pem : Certificates for testing parsing of different formats.
  12
  13 - googlenew.chain.pem : The refreshed Google certificate
  14      (valid until Sept 30 2013).
  15
  16 - mit.davidben.der : An expired MIT client certificate.
  17
  18 - foaf.me.chromium-test-cert.der : A client certificate for a FOAF.ME identity
  19      created for testing.
  20
  21 - www_us_army_mil_cert.der
  22 - dod_ca_17_cert.der
  23 - dod_root_ca_2_cert.der :
  24      A certificate chain used for testing certificate imports
  25
  26 - unosoft_hu_cert : Certificate used by X509CertificateTest.UnoSoftCertParsing.
  27
  28 - client.p12 : A PKCS #12 file containing a client certificate and a private
  29      key created for testing.  The password is "12345".
  30
  31 - client-nokey.p12 : A PKCS #12 file containing a client certificate (the same
  32      as the one in client.p12) but no private key. The password is "12345".
  33
  34 - punycodetest.der : A test self-signed server certificate with punycode name.
  35      The common name is "xn--wgv71a119e.com" (日本語.com)
  36
  37 - unittest.selfsigned.der : A self-signed certificate generated using private
  38      key in unittest.key.bin. The common name is "unittest".
  39
  40 - unittest.key.bin : private key stored unencrypted.
  41
  42 - unittest.originbound.der: A test origin-bound certificate for
  43      https://www.google.com:443.
  44 - unittest.originbound.key.der: matching PrivateKeyInfo.
  45
  46 - x509_verify_results.chain.pem : A simple certificate chain used to test that
  47     the correctly ordered, filtered certificate chain is returned during
  48     verification, regardless of the order in which the intermediate/root CA
  49     certificates are provided.
  50
  51 - google_diginotar.pem
  52 - diginotar_public_ca_2025.pem : A certificate chain for the regression test
  53       of http://crbug.com/94673
  54
  55 - test_mail_google_com.pem : A certificate signed by the test CA for
  56     "mail.google.com". Because it is signed by that CA instead of the true CA
  57     for that host, it will fail the
  58     TransportSecurityState::IsChainOfPublicKeysPermitted test.
  59
  60 - salesforce_com_test.pem
  61 - verisign_intermediate_ca_2011.pem
  62 - verisign_intermediate_ca_2016.pem : Certificates for testing two
  63      X509Certificate objects that contain the same server certificate but
  64      different intermediate CA certificates.  The two intermediate CA
  65      certificates actually represent the same intermediate CA but have
  66      different validity periods.
  67
  68 - multivalue_rdn.pem : A regression test for http://crbug.com/101009. A
  69      certificate with all of the AttributeTypeAndValues stored within a single
  70      RelativeDistinguishedName, rather than one AVA per RDN as normally seen.
  71
  72 - unescaped.pem : Regression test for http://crbug.com/102839. Contains
  73      characters such as '=' and '"' that would normally be escaped when
  74      converting a subject/issuer name to their stringized form.
  75
  76 - 2048-rsa-root.pem
  77 - {768-rsa,1024-rsa,2048-rsa,prime256v1-ecdsa}-intermediate.pem
  78 - {768-rsa,1024-rsa,2048-rsa,prime256v1-ecdsa}-ee-by-
  79       {768-rsa,1024-rsa,2048-rsa,prime256v1-ecdsa}-intermediate.pem
  80      These certficates are generated by
  81      net/data/ssl/scripts/generate-weak-test-chains.sh and used in the
  82      RejectWeakKeys test in net/base/x509_certificate_unittest.cc.
  83
  84 - cross-signed-leaf.pem
  85 - cross-signed-root-md5.pem
  86 - cross-signed-root-sha1.pem
  87      A certificate chain for regression testing http://crbug.com/108514,
  88      generated via scripts/generate-cross-signed-certs.sh
  89
  90 - redundant-validated-chain.pem
  91 - redundant-server-chain.pem
  92 - redundant-validated-chain-root.pem
  93
  94      Two chains, A -> B -> C -> D and A -> B -> C2 (C and C2 share the same
  95      public key) to test that SSLInfo gets the reconstructed, re-ordered
  96      chain instead of the chain as served. See
  97      SSLClientSocketTest.VerifyReturnChainProperlyOrdered in
  98      net/socket/ssl_client_socket_unittest.cc. These chains are valid until
  99      26 Feb 2022 and are generated by
 100      net/data/ssl/scripts/generate-redundant-test-chains.sh.
 101
 102 - multi-root-chain1.pem
 103 - multi-root-chain2.pem
 104      Two chains, A -> B -> C -> D and A -> B -> C2 -> E (C and C2 share the
 105      same public key) to test that certificate validation caching does not
 106      interfere with the chain_verify_callback used by CertVerifyProcChromeOS.
 107      See CertVerifyProcChromeOSTest.
 108
 109 - comodo.chain.pem : A certificate chain for www.comodo.com which should be
 110      recognised as EV. Expires Jun 21 2013.
 111
 112 - ocsp-test-root.pem : A root certificate for the code in
 113       net/tools/testserver/minica.py
 114
 115 - spdy_pooling.pem : Used to test the handling of spdy IP connection pooling
 116      Generated by using the command
 117      "openssl req -x509 -days 3650 -sha1 -extensions req_spdy_pooling \
 118           -config ../scripts/ee.cnf -newkey rsa:1024 -text \
 119           -out spdy_pooling.pem"
 120
 121 - subjectAltName_sanity_check.pem : Used to test the handling of various types
 122      within the subjectAltName extension of a certificate. Generated by using
 123      the command
 124      "openssl req -x509 -days 3650 -sha1 -extensions req_san_sanity \
 125           -config ../scripts/ee.cnf -newkey rsa:1024 -text \
 126           -out subjectAltName_sanity_check.pem"
 127
 128 - ndn.ca.crt: "New Dream Network Certificate Authority" root certificate.
 129      This is an X.509 v1 certificate that omits the version field. Used to
 130      test that the certificate version gets the default value v1.
 131
 132 - websocket_cacert.pem : The testing root CA for testing WebSocket client
 133      certificate authentication.
 134      This file is used in SSLUITest.TestWSSClientCert.
 135
 136 - websocket_client_cert.p12 : A PKCS #12 file containing a client certificate
 137      and a private key created for WebSocket testing. The password is "".
 138      This file is used in SSLUITest.TestWSSClientCert.
 139
 140 - android-test-key-rsa.pem
 141 - android-test-key-dsa.pem
 142 - android-test-key-dsa-public.pem
 143 - android-test-key-ecdsa.pem
 144 - android-test-key-ecdsa-public.pem
 145      This is a set of test RSA/DSA/ECDSA keys used by the Android-specific
 146      unit test in net/android/keystore_unittest.c. They are used to verify
 147      that the OpenSSL-specific wrapper for platform PrivateKey objects
 148      works properly. See the generate-android-test-keys.sh script.
 149
 150 - client_1.pem
 151 - client_1.key
 152 - client_1.pk8
 153 - client_1_ca.pem
 154 - client_2.pem
 155 - client_2.key
 156 - client_2.pk8
 157 - client_2_ca.pem
 158      This is a set of files used to unit test SSL client certificate
 159      authentication. These are generated by
 160      net/data/ssl/scripts/generate-client-certificates.sh
 161      - client_1_ca.pem and client_2_ca.pem are the certificates of
 162        two distinct signing CAs.
 163      - client_1.pem and client_1.key correspond to the certificate and
 164        private key for a first certificate signed by client_1_ca.pem.
 165      - client_2.pem and client_2.key correspond to the certificate and
 166        private key for a second certificate signed by client_2_ca.pem.
 167      - each .pk8 file contains the same key as the corresponding .key file
 168        as PKCS#8 PrivateKeyInfo in DER encoding.
 169
 170 - eku-test-root.pem
 171 - non-crit-codeSigning-chain.pem
 172 - crit-codeSigning-chain.pem
 173      Two code-signing certificates (eKU: codeSigning; eKU: critical,
 174      codeSigning) which we use to test that clients are making sure that web
 175      server certs are checked for correct eKU fields (when an eKU field is
 176      present). Since codeSigning is not valid for web server auth, the checks
 177      should fail.
 178
 179 - duplicate_cn_1.p12
 180 - duplicate_cn_1.pem
 181 - duplicate_cn_2.p12
 182 - duplicate_cn_2.pem
 183      Two certificates from the same issuer that share the same common name,
 184      but have distinct subject names (namely, their O fields differ). NSS
 185      requires that certificates have unique nicknames if they do not share the
 186      same subject, and these certificates are used to test that the nickname
 187      generation algorithm generates unique nicknames.
 188      The .pem versions contain just the certs, while the .p12 versions contain
 189      both the cert and a private key, since there are multiple ways to import
 190      certificates into NSS.
 191
 192 - aia-cert.pem
 193 - aia-intermediate.der
 194 - aia-root.pem
 195      A certificate chain which we use to ensure AIA fetching works correctly
 196      when using NSS to verify certificates (which uses our HTTP stack).
 197      aia-cert.pem has a caIssuers that points to "aia-test.invalid" as the URL
 198      containing the intermediate, which can be served via a URLRequestFilter.
 199      aia-intermediate.der is stored in DER form for convenience, since that is
 200      the form expected of certificates discovered via AIA.
 201
 202 - cybertrust_gte_root.pem
 203 - cybertrust_baltimore_root.pem
 204 - cybertrust_omniroot_chain.pem
 205 - cybertrust_baltimore_cross_certified_1.pem
 206 - cybertrust_baltimore_cross_certified_2.pem
 207      These certificates are reflect a portion of the CyberTrust (Verizon
 208      Business) CA hierarchy. _gte_root.pem is a legacy 1024-bit root that is
 209      still widely supported, while _baltimore_root.pem reflects the newer
 210      2048-bit root. For clients that only support the GTE root, two versions
 211      of the Baltimore root were cross-signed by GTE, namely
 212      _cross_certified_[1,2].pem. _omniroot_chain.pem contains a certificate
 213      chain that was issued under the Baltimore root. Combined, these
 214      certificates can be used to test real-world cross-signing; in practice,
 215      they are used to test certain workarounds for OS X's chain building code.
 216
 217 - no_subject_common_name_cert.pem: Used to test the function that generates a
 218   NSS certificate nickname for a user certificate. This certificate's Subject
 219   field doesn't have a common name.
 220
 221 - expired_cert.pem
 222 - ok_cert.pem
 223 - root_ca_cert.pem
 224      These certificates are the common certificates used by the Python test
 225      server for simulating HTTPS connections. They are generated by running
 226      the script net/data/ssl/scripts/generate-test-certs.sh.
 227
 228 - quic_intermediate.crt
 229 - quic_test_ecc.example.com.crt
 230 - quic_test.example.com.crt
 231 - quic_root.crt
 232      These certificates are used by the ProofVerifier's unit tests of QUIC.
 233
 234 - explicit-policy-chain.pem
 235      A test certificate chain with requireExplicitPolicy field set on the
 236      intermediate, with SkipCerts=0. This is used for regression testing
 237      http://crbug.com/31497. It is generated by running the script
 238      net/data/ssl/scripts/generate-policy-certs.sh
 239
 240 - ct-test-embedded-cert.pem
 241 - ct-test-embedded-with-intermediate-chain.pem
 242 - ct-test-embedded-with-intermediate-preca-chain.pem
 243 - ct-test-embedded-with-preca-chain.pem
 244      Test certificate chains for Certificate Transparency: Each of these
 245      files contains a leaf certificate as the first certificate, which has
 246      embedded SCTs, followed by the issuer certificates chain.
 247      All files are from the src/test/testdada directory in
 248      https://code.google.com/p/certificate-transparency/