Po nedavni posodobitvi je prišlo do polemike, ki je tiho dodala 17 novih korenskih potrdil v sistem Windows (in odstranila 1), ne da bi na to opozorila uporabnike, nekateri pa so celoten sistem poklicali "pokvarjen".


Zato smo menili, da je pravi čas, da razložimo, kaj so korenski certifikati in ali naj bralce skrbi ...

Kaj je korenski certifikat?

Ko obiščete spletno stran, kako veste, da gre za spletno mesto, za katero menite, da ga obiskujete? Internet je odgovoril na to težavo s potrdili SSL (znani tudi kot potrdila HTTPS).

Ko obiščete spletno mesto, zaščiteno s protokolom SSL (https: //), bo spletno mesto brskalniku poleg tega, da je zavarovano s šifriranjem SSL / TSL, predstavilo SSL potrdilo, ki kaže, da je (ali natančneje lastništvo javnega ključa spletnega mesta) ) je overil priznani organ za potrjevanje (CA). Obstaja približno 1200 takih CA-jev.

Če je brskalniku predstavljeno veljavno potrdilo, potem domneva, da je spletno mesto pristno, vzpostavi varno povezavo in v svoji URL-vrstici prikaže zaklenjeno ključavnico, da uporabnike opozori, da meni, da je spletno mesto pristno in varno.

bestvpn https

Ta sistem, ki je temelj varnosti na internetu in se uporablja skoraj za vsako varno spletno mesto, ki obravnava občutljive informacije (vključno z bankami, spletnimi storitvami, plačilnimi procesorji itd.), Zato zaupa zaupnim organom.

Organi za izdajanje potrdil izdajajo potrdila na podlagi verige zaupanja, ki izdajajo več potrdil v obliki drevesne strukture manj verodostojnim organom za potrjevanje. Temeljni organ za potrdila je torej sidro zaupanja, na katerem temelji zaupanje v vse manj verodostojne organe za potrjevanje. Koreninsko potrdilo se uporablja za overjanje korenskega overitelja.

Torej kdo izda korenska potrdila?koren cert

Na splošno korenske certifikate distribuirajo razvijalci OS, kot sta Microsoft in Apple. Večina aplikacij in brskalnikov tretjih oseb (kot je Chrome) uporablja korenska potrdila sistema, nekateri razvijalci pa uporabljajo svoje, predvsem Mozilla (Firefox), Adobe, Opera in Oracle, ki jih uporabljajo njihovi izdelki.

Težave s sistemom CA

Celoten sistem CA se torej opira na zaupanje, kako torej veste, da se tem certifikatom lahko zaupa? No, na koncu dneva morate nekomu zaupati, in če zaupate razvijalcem programske opreme, ki jo uporabljate, potem morate nekako zaupati njihovim certsom.

Vsaj tako je teorija. Kot kaže nedavno Googlovo opozorilo o ponarejenih SSL potrdilih, lahko samo en "lopovski" CA, ki izdaja nezanesljive certifikate, povzroči uničenje, žal pa lahko certifikacijski organi (in za katere je že znano) izdajo ponarejena potrdila. Običajni krivec za to so brezobzirne vlade, ki izvajajo pritisk na družbe CA, vendar lahko kriminalisti tudi CA-jev močno okrepijo, hekerji pa lahko ogrozijo njihove sisteme.

Fundacija Electronic Frontier (EFF) je začela projekt SSL Observatory z namenom preiskati vsa potrdila, ki se uporabljajo za varovanje interneta, in povabila javnost, naj ji pošlje potrdila v analizo. Kolikor se zavedamo, pa se ta projekt v resnici nikoli ni spustil s tal in že dolgo miruje.

Zakaj torej vsa prepir glede Microsoftovega "zahrbtnega" dodajanja korenskih potrdil?

Nekateri komentatorji so se zapletli v tizz, ko je Microsoft dodal nova korenska potrdila, ne da bi opozoril uporabnike ali zaprosil za dovoljenje. Vendar moramo opozoriti, da velika večina uporabnikov (vključno z nami) nima zanesljivega načina, kako ugotoviti, ali je določeni korenski organ za potrdila zanesljiv ali ne, zaradi česar je ta spor po našem mnenju precej nesmiseln ...

Če ne zaupate Microsoftu, potem ne uporabljajte sistema Windows. Seveda, če resno razmišljate o varnosti, potem nikakor ne bi smeli zaupati Microsoftu in zelo verjetno je, da nekateri korenski certifikati, ki so že bili priloženi Windows, omogočajo NSA, da izvede MitM napade na vašem računalniku, če tako izberejo. Teoretično bi vas lahko zaradi lažnih SSL certifikatov usmerili na lažna spletna mesta, ki so v vašem brskalniku pristna.

Tisti, ki resno trpijo za varnost, bi morali uporabljati Linux (in po možnosti zaostren distrogram pri tem). Poudariti je treba tudi, da nobenega mobilnega OS-a ni mogoče obravnavati niti v najmanjši meri varno.

Kar je vredno, je seznam novih organov za potrdila, ki so bili pred kratkim dodani na Microsoftov seznam zaupnih certifikatov, za nas videti precej neškodljiv (mnogi so le nadgradnje starejših certifikatov), ​​toda kdo ve?

Kako odstraniti korensko potrdilo

Če vam res ni všeč določen korenski certifikat, potem lahko odstranite njegov korenski certifikat. Bodite opozorjeni, da zaradi tega vsi certifikati, ki jih je izdal ta certifikacijski organ, niso zaupni, pa tudi vsa potrdila o katerih koli „manjših“ pooblaščenih osebah, ki jih je odobril. Odstranitev teh lahko zelo negativno vpliva na vašo internetno izkušnjo.

Ob nedavnem fiasku Google ponarejenih certifikatov nekateri priporočajo odstranitev kitajskih CA-jev. Vendar poudarjamo, da to počnete v celoti na lastno odgovornost.

Windows

Uporabljamo sistem Windows 8.1, toda postopek bi moral biti približno enak v vseh različicah sistema Windows.

1. Z desno tipko miške kliknite ikono Internet Explorerja -> Zaženi kot skrbnik

2. Pojdite na Orodja (ikona zobnika zgoraj desno) -> Internetne možnosti -> Zavihek Vsebina -> Potrdila -> Zaupni organi za potrjevanje korenin

3. Izberite potrdilo, ki ga želite odstraniti, in pritisnite »Odstrani«. Upoštevajte, da je verjetno zelo dobra ideja, da najprej »izvozite« potrdilo za varnostno kopijo, tako da ga lahko pozneje znova »obnovite«..IE korenski certs

Firefox (samo za namizne različice)

1. Odprite Firefox in odprite meni -> Opcije -> Napredno -> Potrdila -> Oglejte si potrdila

2. V oknu Upravitelj potrdil kliknite na zavihek "Organi" in prikaže se seznam pooblaščenih korenskih pooblaščenih oseb, skupaj s potrdili, ki jih imajo pod njimi.

3. Kliknite potrdilo, ki vam ni všeč, in pritisnite »Izbriši ali nezaupanje«Firefox korenski certs 1

Pritisnite OK, če ste prepričaniFirefox root certs 2

Če želite popolnoma odstraniti dani korenski CA, morate "izbrisati ali nezaupanje" vsa potrdila, ki jih je pooblastila. Tako kot pri odstranjevanju korenskih certifikatov Windows najprej močno priporočamo varnostno kopiranje odstranjenih potrdil.

Mac OSX

Nisem uporabnik Maca, vendar, kot ga razumem, Apple uporabnikom ne dovoljuje odstranjevanja korenskih potrdil, tudi kadar uporabljajo korenske privilegije. Nekorenske certifikate je mogoče odstraniti s Keychain Accessom.

Android (5.1 Lollipop, vendar podoben pri vseh različicah)

1. Pojdite na Nastavitve -> Varnost -> Zaupne poverilnice -> Zavihek sistema. Dotaknite se zelenega kljuka poleg potrdila, ki vam ni všeč

2. Pomaknite se po podrobnostih certifikata navzdol in izberite »Onemogoči«Android root certs 1

iOSAndroid root 2

Korenskih potrdil ni mogoče odstraniti v iOS-u (osebna potrdila je mogoče odstraniti s pripomočkom za konfiguracijo iPhone).

Ubuntu (podobno bo za večino različic Linuxa)

Najpreprostejši način, da prekličete izbiro CA-jev je, da odprete Terminal in zaženete:

sudo dpkg-rekonfigurirati ca-certifikate

Pritisnite prostor, da prekličete izbiro potrdila.Ubuntu root certs 3

Seznam CA-jev je shranjen v datoteki /etc/ca-certificate.conf. To lahko uredite ročno tako, da vnesete:

nano /etc/ca-certificate.conf

Če ročno urejate to datoteko, morate zagnati naslednji ukaz za posodobitev dejanskih potrdil v / etc / ssl / certs /:Ubuntu root certs 4

sudo update-ca-certifikati

(Če uporabite dpkg-re-configure, se to naredi samodejno).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me