Pri nedávnej aktualizácii došlo k určitým sporom, ktoré ticho pridali 17 nových koreňových certifikátov do systému Windows (a odstránili 1) bez toho, aby používateľov upozornili na skutočnosť, čo viedlo niektorých k tomu, aby celý systém nazvali „nefunkčné“..


Preto sme považovali za správny čas vysvetliť, aké sú koreňové certifikáty a či by sa čitatelia mali báť…

Čo je koreňový certifikát?

Ako viete, že pri návšteve webovej stránky ide o web, ktorý si myslíte, že navštevujete? Odpoveďou internetu na tento problém sú certifikáty SSL (známe tiež ako certifikáty HTTPS).

Keď navštívite webovú stránku zabezpečenú SSL (https: //), okrem zabezpečeného pripojenia pomocou šifrovania SSL / TSL webová lokalita poskytne vášmu prehliadaču certifikát SSL, ktorý preukáže, že (alebo presnejšie vlastníctvo verejného kľúča webovej stránky) ) bola overená uznávanou certifikačnou autoritou (CA). Existuje asi 1200 takýchto CA..

Ak je prehliadaču predložený platný certifikát, potom bude predpokladať, že webová stránka je originálna, iniciuje zabezpečené pripojenie a zobrazí na svojom paneli s adresou uzamknutý zámok, ktorý upozorní používateľov, že webovú stránku považuje za pravú a bezpečnú.

bestvpn https

Tento systém, ktorý je základným kameňom bezpečnosti na internete a používa sa takmer pri každej zabezpečenej webovej stránke, ktorá spracováva citlivé informácie (vrátane bánk, služieb elektronickej pošty, spracovateľov platieb atď.), Sa preto spolieha na dôveru príslušných orgánov..

Certifikačné autority vydávajú certifikáty založené na reťazci dôvery a vydávajú viac certifikátov vo forme stromovej štruktúry menej autoritatívnym CA. Koreňová certifikačná autorita je preto kotvou dôvery, na ktorej je založená dôvera vo všetky menej autoritatívne CA. Koreňový certifikát sa používa na autentifikáciu koreňovej certifikačnej autority.

Kto teda vydáva koreňové certifikáty?root cert

Všeobecne povedané, koreňové certifikáty distribuujú vývojári OS, ako sú Microsoft a Apple. Väčšina aplikácií a prehliadačov tretích strán (napríklad Chrome) používa koreňové certifikáty systému, ale niektorí vývojári používajú svoje vlastné, najmä Mozilla (Firefox), Adobe, Opera a Oracle, ktoré používajú ich produkty..

Problémy so systémom CA.

Celý systém CA sa preto spolieha na dôveru, takže ako viete, že týmto certifikátom môžete dôverovať? Na konci dňa musíte niekomu dôverovať a ak dôverujete vývojárom softvéru, ktorý používate, musíte dôverovať svojim certs.

Prinajmenšom to je teória. Ako ukazuje nedávne upozornenie spoločnosti Google na falošné certifikáty SSL, iba jedna nečestná CA, ktorá vydáva nespoľahlivé certifikáty, môže spôsobiť katastrofu a certifikačné autority môžu, bohužiaľ, vydávať falošné certifikáty. Obvyklým vinníkom za to sú bezohľadné vlády, ktoré vyvíjajú tlak na spoločnosti v Kalifornii, ale zločinci môžu tiež silné paušály a hackeri môžu narušiť svoje systémy..

Nadácia Electronic Frontier Foundation (EFF) začala projekt Observatória SSL s cieľom preskúmať všetky certifikáty používané na zabezpečenie internetu a vyzvať verejnosť, aby mu poslala certifikáty na analýzu. Pokiaľ však vieme, tento projekt sa nikdy nevyskočil a roky spí.

Tak prečo všetok rozruch o Microsoft „tajne“ pridáva koreňové certifikáty?

Niektorí komentátori sa rozhodli pre Microsoft pridať nové koreňové certifikáty bez toho, aby upozornili používateľov alebo požiadali o povolenie. Musíme však poznamenať, že drvivá väčšina používateľov (vrátane nás) nemá žiadny spoľahlivý spôsob, ako určiť, či daný koreňový certifikačný orgán je dôveryhodný alebo nie, čo z nášho pohľadu robí celý spor zbytočným ...

Ak spoločnosti Microsoft neveríte, nepoužívajte systém Windows. Samozrejme, ak máte vážne obavy o bezpečnosť, potom by ste spoločnosti Microsoft naozaj nemali dôverovať a je veľmi pravdepodobné, že niektoré z koreňových certifikátov, ktoré už boli dodané so systémom Windows, umožňujú NSA vykonať útoky MitM na váš počítač, ak sa tak rozhodnú. Teoreticky by vás mohli nasmerovať na falošné webové stránky, ktoré vyzerajú originálne pre váš prehliadač vďaka falošným certifikátom SSL.

Tí, ktorí vážne myslia na bezpečnosť, by mali používať Linux (a pokiaľ možno tvrdené distro). Malo by sa tiež zdôrazniť, že žiadny mobilný operačný systém nemožno považovať za najbezpečnejší.

Čo sa oplatí, zoznam nových certifikačných autorít, ktoré boli nedávno pridané do Zoznamu dôveryhodných certifikátov spoločnosti Microsoft, pre nás vyzerá celkom neškodne (mnohé z nich sú jednoducho aktualizáciami na staršie certifikáty), ale kto vie,?

Ako odstrániť koreňový certifikát

Ak sa vám nepáči konkrétny koreňový certifikačný úrad, môžete jeho koreňový certifikát odstrániť. Upozorňujeme, že ak tak urobíte, všetky certifikáty vydané touto certifikačnou autoritou nebudú považované za nedôveryhodné, ani všetky certifikáty ktorejkoľvek z „menších“ CA, ktoré schválila. Ich odstránenie môže mať veľmi negatívny vplyv na vaše používanie internetu.

Po nedávnom fiasku certifikátov o falošných certifikátoch Google niektorí ľudia odporúčajú odstrániť čínske CA. Zdôrazňujeme však, že to je úplne na vaše vlastné riziko.

windows

Používame systém Windows 8.1, ale postup by mal byť takmer rovnaký vo všetkých verziách systému Windows.

1. Pravým tlačidlom myši kliknite na ikonu Internet Explorer -> Spustiť ako správca

2. Prejdite na Nástroje (ikona ozubeného kolieska vpravo hore) -> možnosti internetu -> Karta obsahu -> certifikáty -> Dôveryhodné koreňové certifikačné orgány

3. Vyberte certifikát, ktorý chcete odstrániť, a stlačte „Odstrániť“. Upozorňujeme, že je veľmi dobré najskôr najskôr exportovať certifikát na zálohovanie, aby ste ho mohli v prípade potreby znova obnoviť..Koreňové IE

Firefox (iba verzie pre počítače)

1. Otvorte Firefox a choďte do Open Menu -> možnosti -> Pokročilé -> certifikáty -> Zobraziť certifikáty

2. V okne Správca certifikátov kliknite na kartu „Autority“ a uvidíte zoznam autorizovaných koreňových CA spolu s certifikátmi, ktoré autorizovali pod nimi.

3. Kliknite na certifikát, ktorý sa vám nepáči, a kliknite na príkaz Odstrániť alebo nedôvera.Koreňové jadrá Firefoxu 1

Ak ste si istí, stlačte OKKoreňové jadrá Firefoxu 2

Ak chcete úplne odstrániť daný koreňový CA, musíte „Odstrániť alebo nedôverovať“ všetky certifikáty, ktoré autorizoval. Podobne ako pri odstraňovaní koreňových certifikátov Windows, dôrazne odporúčame najprv zálohovať odstránené certifikáty.

Mac OSX

Nie som používateľom systému Mac, ale ako to chápem, spoločnosť Apple neumožňuje používateľom odstraňovať koreňové certifikáty, a to ani pri používaní oprávnení typu root. Certifikáty typu non-root je možné odstrániť pomocou aplikácie Keychain Access.

Android (5.1 lízatko, ale podobné vo všetkých verziách)

1. Prejdite na Nastavenia -> zabezpečenia -> Dôveryhodné poverenia -> Karta Systém. Klepnite na zelené začiarknutie vedľa certifikátu, ktorý sa vám nepáči

2. Prejdite dole cez podrobnosti o certifikáte a vyberte možnosť „Zakázať“.Root root pre Android 1

iOSRoot root pre Android 2

Koreňové certifikáty nie je možné odstrániť v systéme iOS (osobné certifikáty je možné odstrániť pomocou nástroja iPhone Configuration Utility).

ubuntu (bude podobná pre väčšinu verzií systému Linux)

Najjednoduchší spôsob zrušenia výberu certifikačných autorít je otvorenie terminálu a spustenie:

sudo dpkg-prekonfigurujte ca-certifikáty

Stlačením medzerníka zrušte výber certifikátu.Ubuntu root certs 3

Zoznam CA je uložený v súbore /etc/ca-certificates.conf. Toto je možné editovať manuálne zadaním:

nano /etc/ca-certificates.conf

Ak upravujete tento súbor manuálne, musíte spustiť nasledujúci príkaz na aktualizáciu skutočných certifikátov v / etc / ssl / certs /:Ubuntu root certs 4

sudo update-ca-Certificates

(Ak používate dpkg -configure, to sa vykoná automaticky).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me