Neseniai buvo ginčijamasi dėl neseniai įvykdyto atnaujinimo, tyliai pridėjus 17 naujų šakninių sertifikatų prie „Windows“ (ir pašalinus 1), neįspėjus vartotojų apie tai, todėl kai kurie vadina visą sistemą „sugedusia“.


Todėl manėme, kad tinkamas laikas paaiškinti, kas yra šakniniai sertifikatai ir ar skaitytojai turėtų jaudintis ...

Kas yra pagrindinis sertifikatas?

Kai jūs lankotės svetainėje, kaip sužinoti, kad tai yra svetainė, kurią manote lankantis? Interneto atsakymas į šią problemą yra SSL sertifikatai (dar žinomi kaip HTTPS sertifikatai).

Kai lankysitės apsaugota SSL svetainėje (https: //), be to, kad ryšys bus apsaugotas naudojant SSL / TSL šifravimą, svetainė pateiks jūsų naršyklei SSL sertifikatą, parodantį, kad ji (arba tiksliau, nuosavybės teisė į svetainės viešąjį raktą) ) buvo patvirtinta pripažintos sertifikatų tarnybos (CA). Yra apie 1200 tokių CA.

Jei naršyklei pateikiamas galiojantis sertifikatas, ji laikys, kad svetainė yra autentiška, užmezga saugų ryšį ir savo URL juostoje rodys užraktą spyną, kad įspėtų vartotojus, kad ji mano, kad svetainė yra tikra ir saugi.

„bestvpn“ https

Todėl ši sistema, kuri yra kertinis saugumo internete akmuo ir naudojama beveik visose saugiose svetainėse, kuriose tvarkoma neskelbtina informacija (įskaitant bankus, internetinio pašto paslaugas, mokėjimų tvarkytojus ir pan.), Priklauso nuo pasitikėjimo CA..

Sertifikatų institucijos išduoda pažymėjimus, pagrįstus pasitikėjimo grandine, išduodant kelis sertifikatus medžio struktūros pavidalu mažiau autoritetingoms CA. Taigi pagrindinė sertifikatų institucija yra pasitikėjimo inkaras, kuriuo grindžiamas pasitikėjimas visomis mažiau autoritetingomis CA. Šakninis sertifikatas naudojamas autentifikuoti šakninių sertifikatų tarnybą.

Taigi, kas išduoda pagrindinius sertifikatus?šaknies sertifikatas

Paprastai sakant, šakninius sertifikatus platina tokie OS kūrėjai kaip „Microsoft“ ir „Apple“. Daugelis trečiųjų šalių programų ir naršyklių (pvz., „Chrome“) naudoja sistemos šakninius sertifikatus, tačiau kai kurie kūrėjai naudoja savus, ypač „Mozilla“ („Firefox“), „Adobe“, „Opera“ ir „Oracle“, kuriuos naudoja jų produktai.

Problemos su CA sistema

Taigi visa CA sistema priklauso nuo pasitikėjimo, taigi, kaip jūs žinote, kad šiais sertifikatais galima pasitikėti? Na, o dienos pabaigoje jūs turite kuo nors pasitikėti, o jei pasitikite naudojamos programinės įrangos kūrėjais, vadinasi, jūs turite pasitikėti jų pažymėjimais.

Bent jau tokia yra teorija. Kaip rodo naujausias „Google“ perspėjimas dėl suklastotų SSL sertifikatų, tik viena „nesąžiningi“ CA, išduodantys nepatikimus sertifikatus, gali sukelti sumaištį, ir, deja, sertifikatų tarnybos gali (ir buvo žinomos) išduoti netikrus sertifikatus. Įprastas kaltininkas yra nesąžiningos vyriausybės, darančios spaudimą CA įmonėms, tačiau nusikaltėliai taip pat gali palaikyti CA, o įsilaužėliai gali pakenkti jų sistemoms.

Elektroninių sienų fondas (EŽF) pradėjo SSL observatorijos projektą, kurio tikslas - ištirti visus sertifikatus, naudojamus saugant internetą, ir pakviesti visuomenę atsiųsti sertifikatus analizei. Tačiau, kiek mes žinome, šis projektas niekada nebuvo realus ir daugelį metų neveikė.

Taigi kodėl visi nerimaujate, kad „Microsoft“ slapta prideda šakninius sertifikatus?

Kai kurie komentatoriai pribloškė „Microsoft“ pridėdami naujus pagrindinius sertifikatus, neįspėję vartotojų ir neprašydami jų leidimo. Tačiau turime pažymėti, kad didžioji dauguma vartotojų (taip pat ir mes) neturi patikimo būdo, kaip nustatyti, ar suteikta šakninio sertifikato institucija yra patikima, ar ne, todėl, mūsų nuomone, šis ginčas yra gana beprasmis ...

Jei nepasitikite „Microsoft“, tada nesinaudokite „Windows“. Be abejo, jei rimtai žiūrite į saugumą, tikrai neturėtumėte pasitikėti „Microsoft“, ir labai tikėtina, kad kai kurie šakniniai sertifikatai, jau pristatyti kartu su „Windows“, leidžia NSA atlikti MitM atakas jūsų kompiuteryje, jei jie taip pasirenka. Tai teoriškai gali nukreipti jus į netikras svetaines, kurios jūsų naršyklei atrodo tikros dėl padirbtų SSL sertifikatų.

Tie, kurie rimtai žvelgia į saugumą, turėtų naudoti „Linux“ (o geriausia - užkietėjusį diskoteką). Taip pat reikia pabrėžti, kad nė viena mobilioji OS negali būti laikoma nė kiek ne mažiau saugia.

Naujų sertifikatų tarnybų, neseniai pridėtų prie „Microsoft“ sertifikatų patikimumo sąrašo, sąrašas, ko verta, mums atrodo gana nekenksmingas (daugelis jų yra tiesiog senesnių sertifikatų atnaujinimai), bet kas žino?

Kaip pašalinti pagrindinį sertifikatą

Jei jums tikrai nepatinka konkreti šakninių sertifikatų tarnyba, tuomet galite pašalinti jos pagrindinį sertifikatą. Perspėjame, kad tai padarius visi sertifikatai, kuriuos išduoda ši sertifikatų tarnyba, tampa nepatikimi, taip pat visi mažesnių CA, kuriuos ji įgaliojo, sertifikatai. Jų pašalinimas gali turėti labai neigiamą poveikį jūsų interneto naudojimui.

Dėl pastarojo meto „Google“ suklastotų sertifikatų fiasko, kai kurie žmonės rekomenduoja pašalinti Kinijos CA. Tačiau pabrėžiame, kad už tai jūs esate visiškai atsakingi patys.

„Windows“

Mes naudojame „Windows 8.1“, tačiau procesas turėtų būti beveik vienodas visose „Windows“ versijose.

1. Dešiniuoju pelės mygtuku spustelėkite „Internet Explorer“ piktogramą -> Vykdyti kaip administratorius

2. Eikite į „Įrankiai“ (krumpliaračio piktograma viršuje, dešinėje) -> interneto nustatymai -> Turinio skirtukas -> Pažymos -> Patikimos šaknų sertifikavimo institucijos

3. Pasirinkite pažymėjimą, kurį norite pašalinti, ir spustelėkite „Pašalinti“. Atminkite, kad tikriausiai labai gera idėja pirmiausia „eksportuoti“ atsarginę kopiją, kad galėtumėte vėliau ją vėl atkurti, jei to prireiks..IE šaknies sertifikatai

„Firefox“ (tik staliniams kompiuteriams skirtos versijos)

1. Atidarykite „Firefox“ ir eikite į „Open Menu“ -> Galimybės -> Pažengęs -> Pažymos -> Peržiūrėti pažymėjimus

2. Sertifikatų tvarkytuvės lange spustelėkite skirtuką „Institucijos“ ir po jais pamatysite patvirtintų šakinių CA sąrašą kartu su pažymėjimais, kuriuos jie įgaliojo.

3. Spustelėkite sertifikatą, kuris jums nepatinka, ir spustelėkite „Trinti arba nepasitikėti“.„Firefox“ šaknies sertifikatai 1

Paspauskite Gerai, jei esate tikri„Firefox“ šaknies sertifikatai 2

Norėdami visiškai pašalinti nurodytą pagrindinę CA, turite „Ištrinti arba nepasitikėti“ visais sertifikatais, kuriuos ji įgaliojo. Kaip ir šalinant „Windows“ šakninius sertifikatus, mes primygtinai patariame pirmiausia sukurti atsargines atsarginę kopiją.

„Mac OSX“

Aš nesu „Mac“ vartotojas, tačiau, kaip suprantu, „Apple“ neleidžia vartotojams pašalinti šakninių sertifikatų, net naudojant root teises. Ne šakninius sertifikatus galima pašalinti naudojant „Keychain Access“.

„Android“ (5.1 „Lollipop“, bet visose versijose panaši)

1. Eikite į „Nustatymai“ -> Saugumas -> Patikimi įgaliojimai -> Sistemos skirtukas. Palieskite žalią varnelę šalia jums nepatinkančio pažymėjimo

2. Slinkite žemyn iki sertifikato informacijos iki apačios ir pasirinkite „Išjungti“„Android“ šaknies sertifikatai 1

„iOS“„Android“ šaknies sertifikatas 2

Šaknies sertifikatų negalima pašalinti „iOS“ (asmeninius sertifikatus galima pašalinti naudojant „iPhone Configuration Utility“).

Ubuntu (bus panašus daugelyje „Linux“ versijų)

Paprasčiausias būdas panaikinti CA pasirinkimą yra atidaryti terminalą ir paleisti:

sudo dpkg-konfigūruokite „ca“ sertifikatus

Paspauskite tarpo mygtuką, kad panaikintumėte pažymėjimo pasirinkimą.Ubuntu šaknis 3

CA sąrašas saugomas faile /etc/ca-certificates.conf. Tai galima redaguoti rankiniu būdu, įvedant:

nano /etc/ca-certificates.conf

Jei redaguosite šį failą rankiniu būdu, turėsite paleisti šią komandą, kad atnaujintumėte tikruosius sertifikatus aplanke / etc / ssl / certs /:Ubuntu šaknis 4

sudo atnaujinti-ca-sertifikatai

(Jei naudojate dpkg-reconfigure, tai daroma automatiškai).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me