From 3c4abe430659dfca9aa955a351b1f2abe4a413ac Mon Sep 17 00:00:00 2001
From: Ruben Rodriguez <ruben@gnu.org>
Date: Fri, 3 Apr 2015 23:00:15 +0200
Subject: Disable CNNIC root certificate

http://googleonlinesecurity.blogspot.com/2015/03/maintaining-digital-certificate-security.html
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/
---
 data/patches/disable-cnnic-certs.patch | 311 +++++++++++++++++++++++++++++++++
 1 file changed, 311 insertions(+)
 create mode 100644 data/patches/disable-cnnic-certs.patch

diff --git a/data/patches/disable-cnnic-certs.patch b/data/patches/disable-cnnic-certs.patch
new file mode 100644
index 0000000..4e95705
--- /dev/null
+++ b/data/patches/disable-cnnic-certs.patch
@@ -0,0 +1,311 @@
+diff -ru icecat-31.6.0.orig/security/certverifier/ExtendedValidation.cpp icecat-31.6.0/security/certverifier/ExtendedValidation.cpp
+--- icecat-31.6.0.orig/security/certverifier/ExtendedValidation.cpp	2015-04-02 00:57:14.080068942 +0200
++++ icecat-31.6.0/security/certverifier/ExtendedValidation.cpp	2015-04-02 22:02:39.738625417 +0200
+@@ -681,19 +681,6 @@
+     nullptr
+   },
+   {
+-    // CN=China Internet Network Information Center EV Certificates Root,O=China Internet Network Information Center,C=CN
+-    "1.3.6.1.4.1.29836.1.10",
+-    "CNNIC EV OID",
+-    SEC_OID_UNKNOWN,
+-    { 0x4F, 0x99, 0xAA, 0x93, 0xFB, 0x2B, 0xD1, 0x37, 0x26, 0xA1,
+-      0x99, 0x4A, 0xCE, 0x7F, 0xF0, 0x05, 0xF2, 0x93, 0x5D, 0x1E },
+-    "MIGKMQswCQYDVQQGEwJDTjEyMDAGA1UECgwpQ2hpbmEgSW50ZXJuZXQgTmV0d29y"
+-    "ayBJbmZvcm1hdGlvbiBDZW50ZXIxRzBFBgNVBAMMPkNoaW5hIEludGVybmV0IE5l"
+-    "dHdvcmsgSW5mb3JtYXRpb24gQ2VudGVyIEVWIENlcnRpZmljYXRlcyBSb290",
+-    "SJ8AAQ==",
+-    nullptr
+-  },
+-  {
+     // CN=TWCA Root Certification Authority,OU=Root CA,O=TAIWAN-CA,C=TW
+     "1.3.6.1.4.1.40869.1.1.22.3",
+     "TWCA EV OID",
+diff -ru icecat-31.6.0.orig/security/nss/lib/ckfw/builtins/certdata.txt icecat-31.6.0/security/nss/lib/ckfw/builtins/certdata.txt
+--- icecat-31.6.0.orig/security/nss/lib/ckfw/builtins/certdata.txt	2015-04-02 00:57:19.056068847 +0200
++++ icecat-31.6.0/security/nss/lib/ckfw/builtins/certdata.txt	2015-04-02 22:02:01.058626152 +0200
+@@ -16222,129 +16222,6 @@
+ CKA_TRUST_STEP_UP_APPROVED CK_BBOOL CK_FALSE
+ 
+ #
+-# Certificate "CNNIC ROOT"
+-#
+-# Issuer: CN=CNNIC ROOT,O=CNNIC,C=CN
+-# Serial Number: 1228079105 (0x49330001)
+-# Subject: CN=CNNIC ROOT,O=CNNIC,C=CN
+-# Not Valid Before: Mon Apr 16 07:09:14 2007
+-# Not Valid After : Fri Apr 16 07:09:14 2027
+-# Fingerprint (MD5): 21:BC:82:AB:49:C4:13:3B:4B:B2:2B:5C:6B:90:9C:19
+-# Fingerprint (SHA1): 8B:AF:4C:9B:1D:F0:2A:92:F7:DA:12:8E:B9:1B:AC:F4:98:60:4B:6F
+-CKA_CLASS CK_OBJECT_CLASS CKO_CERTIFICATE
+-CKA_TOKEN CK_BBOOL CK_TRUE
+-CKA_PRIVATE CK_BBOOL CK_FALSE
+-CKA_MODIFIABLE CK_BBOOL CK_FALSE
+-CKA_LABEL UTF8 "CNNIC ROOT"
+-CKA_CERTIFICATE_TYPE CK_CERTIFICATE_TYPE CKC_X_509
+-CKA_SUBJECT MULTILINE_OCTAL
+-\060\062\061\013\060\011\006\003\125\004\006\023\002\103\116\061
+-\016\060\014\006\003\125\004\012\023\005\103\116\116\111\103\061
+-\023\060\021\006\003\125\004\003\023\012\103\116\116\111\103\040
+-\122\117\117\124
+-END
+-CKA_ID UTF8 "0"
+-CKA_ISSUER MULTILINE_OCTAL
+-\060\062\061\013\060\011\006\003\125\004\006\023\002\103\116\061
+-\016\060\014\006\003\125\004\012\023\005\103\116\116\111\103\061
+-\023\060\021\006\003\125\004\003\023\012\103\116\116\111\103\040
+-\122\117\117\124
+-END
+-CKA_SERIAL_NUMBER MULTILINE_OCTAL
+-\002\004\111\063\000\001
+-END
+-CKA_VALUE MULTILINE_OCTAL
+-\060\202\003\125\060\202\002\075\240\003\002\001\002\002\004\111
+-\063\000\001\060\015\006\011\052\206\110\206\367\015\001\001\005
+-\005\000\060\062\061\013\060\011\006\003\125\004\006\023\002\103
+-\116\061\016\060\014\006\003\125\004\012\023\005\103\116\116\111
+-\103\061\023\060\021\006\003\125\004\003\023\012\103\116\116\111
+-\103\040\122\117\117\124\060\036\027\015\060\067\060\064\061\066
+-\060\067\060\071\061\064\132\027\015\062\067\060\064\061\066\060
+-\067\060\071\061\064\132\060\062\061\013\060\011\006\003\125\004
+-\006\023\002\103\116\061\016\060\014\006\003\125\004\012\023\005
+-\103\116\116\111\103\061\023\060\021\006\003\125\004\003\023\012
+-\103\116\116\111\103\040\122\117\117\124\060\202\001\042\060\015
+-\006\011\052\206\110\206\367\015\001\001\001\005\000\003\202\001
+-\017\000\060\202\001\012\002\202\001\001\000\323\065\367\077\163
+-\167\255\350\133\163\027\302\321\157\355\125\274\156\352\350\244
+-\171\262\154\303\243\357\341\237\261\073\110\205\365\232\134\041
+-\042\020\054\305\202\316\332\343\232\156\067\341\207\054\334\271
+-\014\132\272\210\125\337\375\252\333\037\061\352\001\361\337\071
+-\001\301\023\375\110\122\041\304\125\337\332\330\263\124\166\272
+-\164\261\267\175\327\300\350\366\131\305\115\310\275\255\037\024
+-\332\337\130\104\045\062\031\052\307\176\176\216\256\070\260\060
+-\173\107\162\011\061\360\060\333\303\033\166\051\273\151\166\116
+-\127\371\033\144\242\223\126\267\157\231\156\333\012\004\234\021
+-\343\200\037\313\143\224\020\012\251\341\144\202\061\371\214\047
+-\355\246\231\000\366\160\223\030\370\241\064\206\243\335\172\302
+-\030\171\366\172\145\065\317\220\353\275\063\223\237\123\253\163
+-\073\346\233\064\040\057\035\357\251\035\143\032\240\200\333\003
+-\057\371\046\032\206\322\215\273\251\276\122\072\207\147\110\015
+-\277\264\240\330\046\276\043\137\163\067\177\046\346\222\004\243
+-\177\317\040\247\267\363\072\312\313\231\313\002\003\001\000\001
+-\243\163\060\161\060\021\006\011\140\206\110\001\206\370\102\001
+-\001\004\004\003\002\000\007\060\037\006\003\125\035\043\004\030
+-\060\026\200\024\145\362\061\255\052\367\367\335\122\226\012\307
+-\002\301\016\357\246\325\073\021\060\017\006\003\125\035\023\001
+-\001\377\004\005\060\003\001\001\377\060\013\006\003\125\035\017
+-\004\004\003\002\001\376\060\035\006\003\125\035\016\004\026\004
+-\024\145\362\061\255\052\367\367\335\122\226\012\307\002\301\016
+-\357\246\325\073\021\060\015\006\011\052\206\110\206\367\015\001
+-\001\005\005\000\003\202\001\001\000\113\065\356\314\344\256\277
+-\303\156\255\237\225\073\113\077\133\036\337\127\051\242\131\312
+-\070\342\271\032\377\236\346\156\062\335\036\256\352\065\267\365
+-\223\221\116\332\102\341\303\027\140\120\362\321\134\046\271\202
+-\267\352\155\344\234\204\347\003\171\027\257\230\075\224\333\307
+-\272\000\347\270\277\001\127\301\167\105\062\014\073\361\264\034
+-\010\260\375\121\240\241\335\232\035\023\066\232\155\267\307\074
+-\271\341\305\331\027\372\203\325\075\025\240\074\273\036\013\342
+-\310\220\077\250\206\014\374\371\213\136\205\313\117\133\113\142
+-\021\107\305\105\174\005\057\101\261\236\020\151\033\231\226\340
+-\125\171\373\116\206\231\270\224\332\206\070\152\223\243\347\313
+-\156\345\337\352\041\125\211\234\175\175\177\230\365\000\211\356
+-\343\204\300\134\226\265\305\106\352\106\340\205\125\266\033\311
+-\022\326\301\315\315\200\363\002\001\074\310\151\313\105\110\143
+-\330\224\320\354\205\016\073\116\021\145\364\202\214\246\075\256
+-\056\042\224\011\310\134\352\074\201\135\026\052\003\227\026\125
+-\011\333\212\101\202\236\146\233\021
+-END
+-
+-# Trust for Certificate "CNNIC ROOT"
+-# Issuer: CN=CNNIC ROOT,O=CNNIC,C=CN
+-# Serial Number: 1228079105 (0x49330001)
+-# Subject: CN=CNNIC ROOT,O=CNNIC,C=CN
+-# Not Valid Before: Mon Apr 16 07:09:14 2007
+-# Not Valid After : Fri Apr 16 07:09:14 2027
+-# Fingerprint (MD5): 21:BC:82:AB:49:C4:13:3B:4B:B2:2B:5C:6B:90:9C:19
+-# Fingerprint (SHA1): 8B:AF:4C:9B:1D:F0:2A:92:F7:DA:12:8E:B9:1B:AC:F4:98:60:4B:6F
+-CKA_CLASS CK_OBJECT_CLASS CKO_NSS_TRUST
+-CKA_TOKEN CK_BBOOL CK_TRUE
+-CKA_PRIVATE CK_BBOOL CK_FALSE
+-CKA_MODIFIABLE CK_BBOOL CK_FALSE
+-CKA_LABEL UTF8 "CNNIC ROOT"
+-CKA_CERT_SHA1_HASH MULTILINE_OCTAL
+-\213\257\114\233\035\360\052\222\367\332\022\216\271\033\254\364
+-\230\140\113\157
+-END
+-CKA_CERT_MD5_HASH MULTILINE_OCTAL
+-\041\274\202\253\111\304\023\073\113\262\053\134\153\220\234\031
+-END
+-CKA_ISSUER MULTILINE_OCTAL
+-\060\062\061\013\060\011\006\003\125\004\006\023\002\103\116\061
+-\016\060\014\006\003\125\004\012\023\005\103\116\116\111\103\061
+-\023\060\021\006\003\125\004\003\023\012\103\116\116\111\103\040
+-\122\117\117\124
+-END
+-CKA_SERIAL_NUMBER MULTILINE_OCTAL
+-\002\004\111\063\000\001
+-END
+-CKA_TRUST_SERVER_AUTH CK_TRUST CKT_NSS_TRUSTED_DELEGATOR
+-CKA_TRUST_EMAIL_PROTECTION CK_TRUST CKT_NSS_MUST_VERIFY_TRUST
+-CKA_TRUST_CODE_SIGNING CK_TRUST CKT_NSS_MUST_VERIFY_TRUST
+-CKA_TRUST_STEP_UP_APPROVED CK_BBOOL CK_FALSE
+-
+-#
+ # Certificate "ApplicationCA - Japanese Government"
+ #
+ # Issuer: OU=ApplicationCA,O=Japanese Government,C=JP
+@@ -27266,154 +27143,6 @@
+ CKA_TRUST_STEP_UP_APPROVED CK_BBOOL CK_FALSE
+ 
+ #
+-# Certificate "China Internet Network Information Center EV Certificates Root"
+-#
+-# Issuer: CN=China Internet Network Information Center EV Certificates Root,O=China Internet Network Information Center,C=CN
+-# Serial Number: 1218379777 (0x489f0001)
+-# Subject: CN=China Internet Network Information Center EV Certificates Root,O=China Internet Network Information Center,C=CN
+-# Not Valid Before: Tue Aug 31 07:11:25 2010
+-# Not Valid After : Sat Aug 31 07:11:25 2030
+-# Fingerprint (MD5): 55:5D:63:00:97:BD:6A:97:F5:67:AB:4B:FB:6E:63:15
+-# Fingerprint (SHA1): 4F:99:AA:93:FB:2B:D1:37:26:A1:99:4A:CE:7F:F0:05:F2:93:5D:1E
+-CKA_CLASS CK_OBJECT_CLASS CKO_CERTIFICATE
+-CKA_TOKEN CK_BBOOL CK_TRUE
+-CKA_PRIVATE CK_BBOOL CK_FALSE
+-CKA_MODIFIABLE CK_BBOOL CK_FALSE
+-CKA_LABEL UTF8 "China Internet Network Information Center EV Certificates Root"
+-CKA_CERTIFICATE_TYPE CK_CERTIFICATE_TYPE CKC_X_509
+-CKA_SUBJECT MULTILINE_OCTAL
+-\060\201\212\061\013\060\011\006\003\125\004\006\023\002\103\116
+-\061\062\060\060\006\003\125\004\012\014\051\103\150\151\156\141
+-\040\111\156\164\145\162\156\145\164\040\116\145\164\167\157\162
+-\153\040\111\156\146\157\162\155\141\164\151\157\156\040\103\145
+-\156\164\145\162\061\107\060\105\006\003\125\004\003\014\076\103
+-\150\151\156\141\040\111\156\164\145\162\156\145\164\040\116\145
+-\164\167\157\162\153\040\111\156\146\157\162\155\141\164\151\157
+-\156\040\103\145\156\164\145\162\040\105\126\040\103\145\162\164
+-\151\146\151\143\141\164\145\163\040\122\157\157\164
+-END
+-CKA_ID UTF8 "0"
+-CKA_ISSUER MULTILINE_OCTAL
+-\060\201\212\061\013\060\011\006\003\125\004\006\023\002\103\116
+-\061\062\060\060\006\003\125\004\012\014\051\103\150\151\156\141
+-\040\111\156\164\145\162\156\145\164\040\116\145\164\167\157\162
+-\153\040\111\156\146\157\162\155\141\164\151\157\156\040\103\145
+-\156\164\145\162\061\107\060\105\006\003\125\004\003\014\076\103
+-\150\151\156\141\040\111\156\164\145\162\156\145\164\040\116\145
+-\164\167\157\162\153\040\111\156\146\157\162\155\141\164\151\157
+-\156\040\103\145\156\164\145\162\040\105\126\040\103\145\162\164
+-\151\146\151\143\141\164\145\163\040\122\157\157\164
+-END
+-CKA_SERIAL_NUMBER MULTILINE_OCTAL
+-\002\004\110\237\000\001
+-END
+-CKA_VALUE MULTILINE_OCTAL
+-\060\202\003\367\060\202\002\337\240\003\002\001\002\002\004\110
+-\237\000\001\060\015\006\011\052\206\110\206\367\015\001\001\005
+-\005\000\060\201\212\061\013\060\011\006\003\125\004\006\023\002
+-\103\116\061\062\060\060\006\003\125\004\012\014\051\103\150\151
+-\156\141\040\111\156\164\145\162\156\145\164\040\116\145\164\167
+-\157\162\153\040\111\156\146\157\162\155\141\164\151\157\156\040
+-\103\145\156\164\145\162\061\107\060\105\006\003\125\004\003\014
+-\076\103\150\151\156\141\040\111\156\164\145\162\156\145\164\040
+-\116\145\164\167\157\162\153\040\111\156\146\157\162\155\141\164
+-\151\157\156\040\103\145\156\164\145\162\040\105\126\040\103\145
+-\162\164\151\146\151\143\141\164\145\163\040\122\157\157\164\060
+-\036\027\015\061\060\060\070\063\061\060\067\061\061\062\065\132
+-\027\015\063\060\060\070\063\061\060\067\061\061\062\065\132\060
+-\201\212\061\013\060\011\006\003\125\004\006\023\002\103\116\061
+-\062\060\060\006\003\125\004\012\014\051\103\150\151\156\141\040
+-\111\156\164\145\162\156\145\164\040\116\145\164\167\157\162\153
+-\040\111\156\146\157\162\155\141\164\151\157\156\040\103\145\156
+-\164\145\162\061\107\060\105\006\003\125\004\003\014\076\103\150
+-\151\156\141\040\111\156\164\145\162\156\145\164\040\116\145\164
+-\167\157\162\153\040\111\156\146\157\162\155\141\164\151\157\156
+-\040\103\145\156\164\145\162\040\105\126\040\103\145\162\164\151
+-\146\151\143\141\164\145\163\040\122\157\157\164\060\202\001\042
+-\060\015\006\011\052\206\110\206\367\015\001\001\001\005\000\003
+-\202\001\017\000\060\202\001\012\002\202\001\001\000\233\176\163
+-\356\275\073\170\252\144\103\101\365\120\337\224\362\056\262\215
+-\112\216\106\124\322\041\022\310\071\062\102\006\351\203\325\237
+-\122\355\345\147\003\073\124\301\214\231\231\314\351\300\017\377
+-\015\331\204\021\262\270\321\313\133\334\036\371\150\061\144\341
+-\233\372\164\353\150\271\040\225\367\306\017\215\107\254\132\006
+-\335\141\253\342\354\330\237\027\055\234\312\074\065\227\125\161
+-\315\103\205\261\107\026\365\054\123\200\166\317\323\000\144\275
+-\100\231\335\314\330\333\304\237\326\023\137\101\203\213\371\015
+-\207\222\126\064\154\032\020\013\027\325\132\034\227\130\204\074
+-\204\032\056\134\221\064\156\031\137\177\027\151\305\145\357\153
+-\041\306\325\120\072\277\141\271\005\215\357\157\064\072\262\157
+-\024\143\277\026\073\233\251\052\375\267\053\070\146\006\305\054
+-\342\252\147\036\105\247\215\004\146\102\366\217\053\357\210\040
+-\151\217\062\214\024\163\332\053\206\221\143\042\232\362\247\333
+-\316\211\213\253\135\307\024\301\133\060\152\037\261\267\236\056
+-\201\001\002\355\317\226\136\143\333\250\346\070\267\002\003\001
+-\000\001\243\143\060\141\060\037\006\003\125\035\043\004\030\060
+-\026\200\024\174\162\113\071\307\300\333\142\245\117\233\252\030
+-\064\222\242\312\203\202\131\060\017\006\003\125\035\023\001\001
+-\377\004\005\060\003\001\001\377\060\016\006\003\125\035\017\001
+-\001\377\004\004\003\002\001\006\060\035\006\003\125\035\016\004
+-\026\004\024\174\162\113\071\307\300\333\142\245\117\233\252\030
+-\064\222\242\312\203\202\131\060\015\006\011\052\206\110\206\367
+-\015\001\001\005\005\000\003\202\001\001\000\052\303\307\103\067
+-\217\335\255\244\262\014\356\334\024\155\217\050\244\230\111\313
+-\014\200\352\363\355\043\146\165\175\305\323\041\147\171\321\163
+-\305\265\003\267\130\254\014\124\057\306\126\023\017\061\332\006
+-\347\145\073\035\157\066\333\310\035\371\375\200\006\312\243\075
+-\146\026\250\235\114\026\175\300\225\106\265\121\344\342\037\327
+-\352\006\115\143\215\226\214\357\347\063\127\102\072\353\214\301
+-\171\310\115\166\175\336\366\261\267\201\340\240\371\241\170\106
+-\027\032\126\230\360\116\075\253\034\355\354\071\334\007\110\367
+-\143\376\006\256\302\244\134\152\133\062\210\305\307\063\205\254
+-\146\102\107\302\130\044\231\341\345\076\345\165\054\216\103\326
+-\135\074\170\036\250\225\202\051\120\321\321\026\272\357\301\276
+-\172\331\264\330\314\036\114\106\341\167\261\061\253\275\052\310
+-\316\217\156\241\135\177\003\165\064\344\255\211\105\124\136\276
+-\256\050\245\273\077\170\171\353\163\263\012\015\375\276\311\367
+-\126\254\366\267\355\057\233\041\051\307\070\266\225\304\004\362
+-\303\055\375\024\052\220\231\271\007\314\237
+-END
+-
+-# Trust for "China Internet Network Information Center EV Certificates Root"
+-# Issuer: CN=China Internet Network Information Center EV Certificates Root,O=China Internet Network Information Center,C=CN
+-# Serial Number: 1218379777 (0x489f0001)
+-# Subject: CN=China Internet Network Information Center EV Certificates Root,O=China Internet Network Information Center,C=CN
+-# Not Valid Before: Tue Aug 31 07:11:25 2010
+-# Not Valid After : Sat Aug 31 07:11:25 2030
+-# Fingerprint (MD5): 55:5D:63:00:97:BD:6A:97:F5:67:AB:4B:FB:6E:63:15
+-# Fingerprint (SHA1): 4F:99:AA:93:FB:2B:D1:37:26:A1:99:4A:CE:7F:F0:05:F2:93:5D:1E
+-CKA_CLASS CK_OBJECT_CLASS CKO_NSS_TRUST
+-CKA_TOKEN CK_BBOOL CK_TRUE
+-CKA_PRIVATE CK_BBOOL CK_FALSE
+-CKA_MODIFIABLE CK_BBOOL CK_FALSE
+-CKA_LABEL UTF8 "China Internet Network Information Center EV Certificates Root"
+-CKA_CERT_SHA1_HASH MULTILINE_OCTAL
+-\117\231\252\223\373\053\321\067\046\241\231\112\316\177\360\005
+-\362\223\135\036
+-END
+-CKA_CERT_MD5_HASH MULTILINE_OCTAL
+-\125\135\143\000\227\275\152\227\365\147\253\113\373\156\143\025
+-END
+-CKA_ISSUER MULTILINE_OCTAL
+-\060\201\212\061\013\060\011\006\003\125\004\006\023\002\103\116
+-\061\062\060\060\006\003\125\004\012\014\051\103\150\151\156\141
+-\040\111\156\164\145\162\156\145\164\040\116\145\164\167\157\162
+-\153\040\111\156\146\157\162\155\141\164\151\157\156\040\103\145
+-\156\164\145\162\061\107\060\105\006\003\125\004\003\014\076\103
+-\150\151\156\141\040\111\156\164\145\162\156\145\164\040\116\145
+-\164\167\157\162\153\040\111\156\146\157\162\155\141\164\151\157
+-\156\040\103\145\156\164\145\162\040\105\126\040\103\145\162\164
+-\151\146\151\143\141\164\145\163\040\122\157\157\164
+-END
+-CKA_SERIAL_NUMBER MULTILINE_OCTAL
+-\002\004\110\237\000\001
+-END
+-CKA_TRUST_SERVER_AUTH CK_TRUST CKT_NSS_TRUSTED_DELEGATOR
+-CKA_TRUST_EMAIL_PROTECTION CK_TRUST CKT_NSS_MUST_VERIFY_TRUST
+-CKA_TRUST_CODE_SIGNING CK_TRUST CKT_NSS_MUST_VERIFY_TRUST
+-CKA_TRUST_STEP_UP_APPROVED CK_BBOOL CK_FALSE
+-
+-#
+ # Certificate "Swisscom Root CA 2"
+ #
+ # Issuer: CN=Swisscom Root CA 2,OU=Digital Certificate Services,O=Swisscom,C=ch
-- 
cgit v1.2.3