S-a produs o anumită controversă cu privire la întârzierea unei actualizări recente care a adăugat în mod liniștit 17 noi certificate root la Windows (și a eliminat 1) fără a avertiza utilizatorii asupra faptului, determinând unii să numească întregul sistem „spart”..


Prin urmare, am considerat că este un moment bun pentru a explica care sunt certificatele root și dacă cititorii ar trebui să fie îngrijorați ...

Ce este un certificat root?

Când vizitați un site web, de unde știți că acesta este site-ul pe care credeți că îl vizitați? Răspunsul internetului la această problemă este certificatele SSL (cunoscute și sub numele de certificate HTTPS).

Când vizitați un site web securizat SSL (https: //), pe lângă conexiunea asigurată folosind criptarea SSL / TSL, site-ul va prezenta browserului dvs. un certificat SSL care arată că acesta (sau mai exact proprietatea asupra cheii publice a site-ului web). ) a fost autentificat de o autoritate de certificare (CA) recunoscută. Există aproximativ 1200 de astfel de CA-uri.

Dacă unui browser i se prezintă un certificat valid, atunci va presupune că un site web este autentic, va iniția o conexiune sigură și va afișa un lacăt blocat în bara URL-ului pentru a avertiza utilizatorii că consideră site-ul autentic și sigur..

bestvpn https

Acest sistem, care este piatra de temelie a securității pe internet, și este utilizat aproape la fiecare site web securizat care gestionează informații sensibile (inclusiv bănci, servicii de poștă web, procesoare de plată și așa mai departe), de aceea, se bazează pe încrederea CA-urilor..

Autoritățile de certificare eliberează certificate bazate pe un lanț de încredere, emit mai multe certificate sub forma unei structuri de arbori către CA-uri mai puțin autorizate. Prin urmare, o autoritate de certificare rădăcină este baza de încredere pe care se bazează încrederea în toate CA-urile mai puțin autorizate. Un certificat root este utilizat pentru autentificarea unei autorități de certificare root.

Deci, cine emite certificatele root?rădăcină cert

În general, certificatele root sunt distribuite de dezvoltatorii de sisteme de operare, cum ar fi Microsoft și Apple. Majoritatea aplicațiilor și browserelor terță parte (cum ar fi Chrome) utilizează certificatele rădăcină ale sistemului, dar unii dezvoltatori folosesc propriile lor, în special Mozilla (Firefox), Adobe, Opera și Oracle, care sunt utilizate de produsele lor.

Probleme cu sistemul CA

Prin urmare, întregul CA se bazează pe încredere, de unde știți că aceste certificate pot fi de încredere? Ei bine, la sfârșitul zilei trebuie să ai încredere în cineva și, dacă ai încredere în dezvoltatorii software-ului pe care-l folosești, trebuie să ai încredere în certurile lor.

Cel puțin asta este teoria. Așa cum o demonstrează recent un avertisment Google asupra certificatelor SSL false, doar un CA „necinstit” care eliberează certificate nesigure poate provoca rău și, din păcate, autoritățile de certificare pot (și au fost cunoscute) să emită certificate false. Culpele obișnuit pentru acest lucru sunt guvernele lipsite de scrupule, care fac presiuni asupra companiilor din CA, dar infractorii pot, de asemenea, instrumente de protecție puternică, iar hackerii pot compromite sistemele lor.

Fundația Electronic Frontier (EFF) a demarat un proiect SSL Observatory cu scopul de a investiga toate certificatele utilizate pentru securizarea internetului, invitând publicul să-i trimită certificate pentru analiză. Din câte suntem conștienți, totuși, acest proiect nu a fost niciodată dat jos și a rămas lat de ani buni.

Așadar, de ce toate neplăcerile despre Microsoft „aduc trist” adăugând certificate root?

Unii comentatori s-au descurcat pe Microsoft adăugând noi certificate root fără să alerteze utilizatorii sau să le ceară permisiunea. Cu toate acestea, trebuie să remarcăm că marea majoritate a utilizatorilor (inclusiv noi) nu au nicio modalitate de încredere de a determina dacă o autoritate de certificare rădăcină este de încredere sau nu, ceea ce face ca această dispută să fie destul de inutilă în opinia noastră ...

Dacă nu aveți încredere în Microsoft, atunci nu folosiți Windows. Desigur, dacă sunteți serios în ceea ce privește securitatea, oricum nu ar trebui să aveți încredere în Microsoft, și este foarte probabil ca unele dintre certificatele root deja livrate cu Windows să permită NSA să efectueze atacuri MitM pe computer în cazul în care ar trebui să aleagă. Acestea teoretic te-ar putea direcționa către site-uri web false care arată autentic pentru browserul tău datorită certificatelor SSL false.

Cei serioși cu privire la securitate ar trebui să utilizeze Linux (și de preferință o distro întărită la asta). De asemenea, trebuie subliniat faptul că niciun sistem de operare mobil nu poate fi luat în considerare în cea mai mică siguranță.

Din câte merită, lista de noi autorități de certificare adăugate recent la Lista de încredere a certificatelor Microsoft pare destul de inofensivă pentru noi (multe sunt pur și simplu actualizări la certificate mai vechi), dar cine știe?

Cum se elimină un certificat rădăcină

Dacă într-adevăr nu vă place o anumită autoritate de certificare rădăcină, atunci puteți elimina certificatul root. Fiți atenționat că, astfel, face ca toate certificatele emise de autoritatea de certificare să nu fie de încredere, precum și toate cele ale oricărui CA „mai mic” pe care le-a autorizat. Eliminarea acestora poate avea un impact foarte negativ asupra experienței dvs. pe internet.

În urma recentului fiasco de certificate false Google, unii recomandă eliminarea CA din China. Subliniem, totuși, faptul că acest lucru este în întregime pe propriul dvs. risc.

ferestre

Folosim Windows 8.1, dar procesul ar trebui să fie practic același pe toate versiunile de Windows.

1. Faceți clic dreapta pe pictograma Internet Explorer -> Rulat ca administrator

2. Accesați Instrumente (pictograma roată din dreapta sus) -> optiuni de internet -> Fila Conținut -> Certificate -> Autorități de certificare rădăcină de încredere

3. Selectați certificatul pe care doriți să îl eliminați și apăsați pe „Eliminare”. Rețineți că este probabil o idee foarte bună să „exportați” un certificat pentru copie de rezervă mai întâi, astfel încât să îl puteți „Restaura” din nou mai târziu, dacă este necesar.Certificările rădăcină IE

Firefox (numai versiuni desktop)

1. Deschide Firefox și accesează Open Menu -> Opțiuni -> Avansat -> Certificate -> Vizualizați certificatele

2. În fereastra Managerului certificatelor, faceți clic pe fila „Autorități” și veți vedea lista CA-urilor rădăcină autorizate, împreună cu certificatele (certificatele) pe care le-au autorizat mai jos

3. Faceți clic pe un certificat care nu vă place și apăsați pe „Șterge sau neîncredere”Certificări de rădăcină Firefox 1

Apăsați OK dacă sunteți sigurCertificări 2 de rădăcină Firefox

Pentru a elimina complet o CA rădăcină dată, trebuie să „Ștergeți sau să ne încredințați” toate certificatele pe care le-a autorizat. Ca și în cazul înlăturarii certificatelor rădăcină Windows, vă recomandăm cu tarie să faceți backup pentru primele certificate eliminate.

Mac OS X

Nu sunt un utilizator Mac, dar după cum am înțeles, Apple nu permite utilizatorilor să înlăture certificatele root, chiar și atunci când folosesc privilegii root. Certificările non-root pot fi eliminate cu ajutorul Keychain Access.

Android (5.1 Lollipop, dar similar pentru toate versiunile)

1. Accesați Setări -> Securitate -> Credențe de încredere -> Fila Sistem. Atingeți marcajul verde de lângă certificatul care nu vă place

2. Derulați în jos prin detaliile certificatului în partea de jos și selectați „Dezactivați”Certificări rădăcină Android 1

iOSCertificări de rădăcină Android 2

Certificatele rădăcină nu pot fi eliminate în iOS (certificatele personale pot fi eliminate cu ajutorul utilitarului de configurare iPhone).

Ubuntu (va fi similar pentru majoritatea versiunilor Linux)

Cel mai simplu mod de a deselecta CA este de a deschide terminalul și de a rula:

sudo dpkg-reconfigure ca-certificate

Apăsați spațiu pentru a deselecta un certificat.Certificări de rădăcină Ubuntu 3

Lista CA-urilor este stocată în fișierul /etc/ca-certificates.conf. Aceasta poate fi modificată manual prin introducerea:

nano /etc/ca-certificates.conf

Dacă editați manual acest fișier, atunci trebuie să rulați următoarea comandă pentru a actualiza certificatele reale din / etc / ssl / certs /:Certificări de rădăcină Ubuntu 4

sudo update-ca-certificate

(Dacă utilizați dpkg-reconfigure, acest lucru se face automat).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me