Par neseno atjauninājumu, kas klusām pievienoja 17 jaunus saknes sertifikātus Windows (un noņemtus 1), bez brīdināšanas lietotājiem par to, daži tika aicināti visu sistēmu par “salauztu”, vēlu ir radušies strīdi par vēlu.

Tāpēc mēs domājām, ka ir piemērots laiks izskaidrot, kas ir saknes sertifikāti un vai lasītājiem būtu jāuztraucas ...

Kas ir saknes sertifikāts?

Kad jūs apmeklējat vietni, kā jūs zināt, ka tā ir vietne, kuru, jūsuprāt, apmeklējat? Interneta atbilde uz šo problēmu ir SSL sertifikāti (pazīstami arī kā HTTPS sertifikāti).

Apmeklējot SSL drošu vietni (https: //), papildus savienojumam, kas tiek nodrošināts, izmantojot SSL / TSL šifrēšanu, vietne jūsu pārlūkprogrammai uzrādīs SSL sertifikātu, kurā parādīts, ka tas (vai precīzāk, pieder vietnes publiskajai atslēgai) ) ir autentificējusi atzīta sertifikātu iestāde (CA). Pastāv apmēram 1200 šādas CA.

Ja pārlūkprogrammai tiek uzrādīts derīgs sertifikāts, tad tā pieņems, ka vietne ir īsta, izveido drošu savienojumu un URL joslā parāda bloķētu piekaramo atslēgu, lai brīdinātu lietotājus, ka tā vietni uzskata par īstu un drošu.


bestvpn https

Tāpēc šī sistēma, kas ir drošības pamats internetā, un kuru izmanto gandrīz visās drošās vietnēs, kurās apstrādā sensitīvu informāciju (ieskaitot bankas, tīmekļa pasta pakalpojumus, maksājumu apstrādātājus un tā tālāk), tāpēc ir atkarīga no uzticēšanās SI.

Sertifikātu iestādes izdod sertifikātus, kuru pamatā ir uzticības ķēde, mazāk autoritatīvām SI izsniedzot vairākus sertifikātus koka struktūras veidā. Tādēļ saknes sertifikātu iestāde ir uzticības enkurs, uz kura balstās uzticēšanās visām mazāk autoritatīvajām SI. Saknes sertifikāts tiek izmantots, lai autentificētu saknes sertifikātu iestādi.

Kas izdod saknes sertifikātus?saknes sert

Parasti saknes sertifikātus izplata tādi OS izstrādātāji kā Microsoft un Apple. Lielākā daļa trešo pušu lietotņu un pārlūkprogrammu (piemēram, Chrome) izmanto sistēmas saknes sertifikātus, bet daži izstrādātāji izmanto savus, īpaši Mozilla (Firefox), Adobe, Opera un Oracle, kurus izmanto viņu produkti.

Problēmas ar CA sistēmu

Tāpēc visa CA sistēma paļaujas uz uzticēšanos, tad kā jūs zināt, ka šiem sertifikātiem var uzticēties? Dienas beigās jums ir jāuzticas kādam, un, ja jūs uzticaties izmantotās programmatūras izstrādātājiem, tad jums ir jāuzticas viņu certs.

Vismaz tā ir teorija. Kā liecina nesenais Google brīdinājums par viltotiem SSL sertifikātiem, tikai viena “negodīga” SI, kas izsniedz neuzticamus sertifikātus, var izraisīt postījumus, un diemžēl sertifikātu iestādes var (un par tām bija zināms) izdot viltotus sertifikātus. Parasti vainīgais ir negodīgas valdības, kas izdara spiedienu uz CA uzņēmumiem, bet noziedznieki var arī atbalstīt CA, un hakeri var apdraudēt viņu sistēmas.

Elektronisko robežu fonds (EZF) sāka SSL observatorijas projektu ar mērķi izpētīt visus sertifikātus, ko izmanto interneta drošībai, aicinot sabiedrību nosūtīt sertifikātus analīzei. Cik mums zināms, šis projekts tomēr nekad nav nonācis reibumā un gadiem ilgi nav darbojies.

Tātad, kāpēc visas satraukums par Microsoft “sneakily” pievienošanu saknes sertifikātiem?

Daži komentētāji ir iekļuvuši troksnī par to, ka Microsoft pievieno jaunus saknes sertifikātus, nebrīdinot lietotājus vai nelūdzot viņu atļauju. Tomēr mums jāņem vērā, ka lielākajai daļai lietotāju (ieskaitot mūs) nav uzticama veida, kā noteikt, vai konkrētā saknes sertifikātu pārvalde ir uzticama, kas, mūsuprāt, padara šo strīdu diezgan bezjēdzīgu…

Ja neuzticaties Microsoft, tad nelietojiet Windows. Protams, ja jūs nopietni domājat par drošību, jums tik un tā nevajadzētu uzticēties Microsoft, un ir ļoti iespējams, ka daži no saknes sertifikātiem, kas jau piegādāti kopā ar Windows, ļauj NSA veikt MitM uzbrukumus jūsu datoram, ja viņi to izvēlas. Teorētiski tās var jūs novirzīt uz viltus vietnēm, kas, pateicoties viltus SSL sertifikātiem, jūsu pārlūkprogrammai izskatās īstas.

Tiem, kas nopietni domā par drošību, ir jāizmanto Linux (un vēlams, lai tajā būtu rūdīts distro). Jāuzsver arī tas, ka nevienu mobilo operētājsistēmu nevar uzskatīt par vismazāko drošu.

Jautājumam, kas ir tā vērts, jauno sertifikātu autoritāšu saraksts, kas nesen pievienots Microsoft sertifikātu uzticamības sarakstam, mums izskatās diezgan nekaitīgs (daudzi ir vienkārši jaunāki uz vecākiem sertifikātiem), bet kas zina?

Kā noņemt saknes sertifikātu

Ja jums patiešām nepatīk konkrēta saknes sertifikātu iestāde, tad varat noņemt tās saknes sertifikātu. Jābrīdina, ka šādi rīkojoties, visi sertifikāti, kurus izsniedz šī sertifikātu iestāde, kā arī visi tās pilnvarotie “mazākās” CA sertifikāti tiek neuzticami. To noņemšana var ļoti negatīvi ietekmēt jūsu pieredzi internetā.

Nesenā Google viltoto sertifikātu fiasko dēļ daži cilvēki iesaka noņemt ķīniešu CA. Tomēr mēs uzsveram, ka šādi rīkoties ir pilnībā uz jūsu atbildības.

Windows

Mēs izmantojam Windows 8.1, taču procesam vajadzētu būt gandrīz vienādam visās Windows versijās.

1. Ar peles labo pogu noklikšķiniet uz Internet Explorer ikonas -> Izpildīt kā administratoram

2. Dodieties uz Rīki (zobrata ikona augšējā labajā pusē) -> Interneta iespējas -> Cilne Saturs -> Sertifikāti -> Trusted Root sertificēšanas institūcijas

3. Atlasiet sertifikātu, kuru vēlaties noņemt, un noklikšķiniet uz Noņemt. Ņemiet vērā, ka, iespējams, ir ļoti laba ideja vispirms eksportēt sertifikātu rezerves kopijas izveidei, lai vēlāk to varētu atkal atjaunot, ja nepieciešams.IE sakņu apliecinājumi

Firefox (tikai galddatoru versijas)

1. Atveriet Firefox un dodieties uz Open Menu -> Iespējas -> Advanced -> Sertifikāti -> Skatīt sertifikātus

2. Sertifikātu pārvaldnieka logā noklikšķiniet uz cilnes “Iestādes”, un zem tām redzēsit atļauto sakņu SI sarakstu kopā ar sertifikātiem, kurus viņi ir autorizējuši.

3. Noklikšķiniet uz sertifikāta, kas jums nepatīk, un noklikšķiniet uz Dzēst vai neuzticēties.Firefox saknes apliecinājumi 1

Nospiediet OK, ja esat pārliecinātsFirefox saknes apliecinājumi 2

Lai pilnībā noņemtu doto saknes SI, jums ir “Dzēst vai neuzticēties” visiem sertifikātiem, kurus tā ir pilnvarojusi. Tāpat kā Windows saknes sertifikātu noņemšana, mēs ļoti iesakām vispirms dublēt noņemtos sertifikātus.

Mac OSX

Es neesmu Mac lietotājs, bet, kā es to saprotu, Apple neļauj lietotājiem noņemt saknes sertifikātus, pat ja tiek izmantoti root privilēģijas. Sekundāros sertifikātus var noņemt, izmantojot Keychain Access.

Android (5.1 konfekte, bet visās versijās līdzīga)

1. Atveriet sadaļu Iestatījumi -> Drošība -> Uzticami akreditācijas dati -> Cilne Sistēma. Pieskarieties zaļajai atzīmei blakus sertifikātam, kas jums nepatīk

2. Ritiniet informāciju par sertifikātu līdz apakšai un atlasiet “Atspējot”.Android saknes apliecinājumi 1

iOSAndroid saknes sertifikāts 2

Saknes sertifikātus nevar noņemt operētājsistēmā iOS (personiskos sertifikātus var noņemt, izmantojot iPhone konfigurācijas utilītu).

Ubuntu (būs līdzīgs lielākajai daļai Linux versiju)

Vienkāršākais veids, kā noņemt CA izvēli, ir atvērt termināli un palaist:

sudo dpkg-pārkonfigurēt ca-sertifikātus

Nospiediet atstarpi, lai noņemtu sertifikāta atlasi.Ubuntu saknes certs 3

CA saraksts tiek glabāts failā /etc/ca-certificates.conf. To var rediģēt manuāli, ievadot:

nano /etc/ca-certificates.conf

Ja rediģējat šo failu manuāli, jums jāpalaiž šī komanda, lai atjauninātu faktiskos sertifikātus mapē / etc / ssl / certs /:Ubuntu saknes certs 4

sudo update-ca-sertifikāti

(Ja izmantojat dpkg-reconfigure, tas tiek darīts automātiski).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me