Buscando en http://www.cert.fnmt.es me encontré con más de lo que esperaba.
En la página de ciudadanos se puede descargar el certificado raíz de la FNMT Clase 2 CA.
Pero además hay otra página con los certificados raíz de la nueva Autoridad de Certificación "FNMT-RCM" y también el "AC APE" (Administración Pública Española), derivado de la autoridad "FNMT-RCM".
Como referencia está bien el documento pdf DECLARACIÓN GENERAL DE PRÁCTICAS DE CERTIFICACIÓN que en la página 18 y siguientes presenta las distintas cadenas de certificación empleadas por la FNMT, además de indicar las huellas digitales de cada uno de los certificados raíz. Para el caso de la CA tradicional, "FNMT Clase 2 CA", indica que
La huella digital del Certificado Raíz de “FNMT Clase 2 CA” puede consultarse en el BOE nº. 235 (pág. 35194 ) de 1 de Octubre de 1999, en la Orden de 30 de septiembre de 1999 por la que se establecen las condiciones generales y el procedimiento para la presentación telemática de las declaraciones-liquidaciones correspondientes a los modelos 110, 130, 300 y 330.
Para las otras (nuevas) CA no hay referencias al BOE, pero en el pdf indicado vienen los números de serie y las huellas digitales.
Estas nuevas CA son "AC FIRMA MOVIL” que tiene un único certificado raíz, y "AC RAIZ FNMT-RCM” que tiene tres certificados raíz distintos en base a que se han autofirmado con tres algoritmos distintos, pkcs1-sha1WithRSAEncryption, pkcs1-sha256WithRSAEncryption y pkcs1-sha512WithRSAEncryption. Esos certificados raíz son válidos hasta el 1 de enero de 2030. El certificado de la APE es válido hasta el 2023.
Además de las distintas versiones de hash (sha1, sha256 y sha512) parece que en todos los certificados raíz nuevos la clave utilizada es de 512 bytes (4096 bits) en vez de los 128 bytes del certificado raíz de "FNMT Clase 2 CA", todo para evitar que antes de las fechas de caducidad los certificados raíz se hayan vuelto vulnerables.
