<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, May 24, 2019 at 7:09 AM Valek, Andrej <<a href="mailto:andrej.valek@siemens.com">andrej.valek@siemens.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_7005169757007488533WordSection1">
<p class="MsoNormal">Hello Everyone!<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I have found your nice project, which could solves my problems.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I am trying to get rid of the libnss due to some problems.<u></u><u></u></p>
<p class="MsoNormal">My application is QtWebengine + chromium based. Previously SSL certificates have been handled by openssl. Chromium read ca-certificates from /etc/ssl/certs, but from QT version 5.12.3 they have switched to used nss. When the application
 starts, it loads certificates from ~/.pki/nssdb . Application is still using the old certificates, even if I upload the new certificate and the nssdb is updated via certutil from ca-certificate update hook. Application just reads nssdb during starting. After
 application restarting, it re-loaded the library and worked. But this case is unwanted.</p></div></div></blockquote><div><br></div><div>Since you mentioned Chromium and libnss - this isn't something p11-kit can help with. While you're not using nssckbi anymore, you're still using libnss for all of the certificate verification and operations, and libnss (and the mozilla::pkix APIs that Chromium-based distributions use from libnss) has a host of internal caches. Additionally, Chromium itself has a host of internal caches, and officially, does not support your use case.</div><div><br></div><div>If you'd like to resolve this, you'd need to switch to using something not-Chromium-based, not-libnss-based (although Chromium using the other backends similarly makes no guarantee of immediate visibility of changes absent process restarts), or maintain patches for or on top of QtWebEngine. In any event, those are probably easily answered on a Chromium bug, with the knowledge it may be WontFixed, but at least provide more thorough answers if you have follow-up questions.</div><div><br></div><div>Hope that helps!</div><div><br></div><div>/Chromium maintainer of that code, who happens to lurk here.</div></div></div>