הייתה מחלוקת כלשהי באיחור של עדכון אחרון שהוסיף בשקט 17 אישורי שורש חדשים ל- Windows (והסירו 1) מבלי להתריע בפני המשתמשים על כך, מה שהוביל לחלקם לקרוא למערכת כולה 'שבורה'..


לכן חשבנו שזה זמן טוב להסביר מהן תעודות שורש והאם הקוראים צריכים לדאוג ...

מהי אישור שורש?

כשאתה מבקר באתר אינטרנט, איך אתה יודע שזה האתר שאתה חושב שאתה מבקר בו? התשובה של האינטרנט לבעיה זו היא תעודות SSL (הידועות גם בשם תעודות HTTPS).

כאשר אתה מבקר באתר מאובטח SSL (https: //), בנוסף לכך שהחיבור מאובטח באמצעות קידוד SSL ​​/ TSL, האתר יציג לדפדפן שלך תעודת SSL שמראה שהוא (או יותר נכון הבעלות על המפתח הציבורי של האתר) ) אושר על ידי רשות אישורים מוכרת (CA). ישנם כ 1200- חברות CA כאלה.

אם לדפדפן מוצגת אישור תקף, הוא יניח שאתר הוא מקורי, יזום חיבור מאובטח ומציג מנעול נעול בסרגל הכתובות שלו כדי להתריע בפני המשתמשים שהוא מחשיב את האתר כמאובטח ומאובטח..

bestvpn https

מערכת זו, שהיא אבן היסוד של האבטחה באינטרנט, ומשמשת כמעט בכל אתר מאובטח המטפל במידע רגיש (כולל בנקים, שירותי דואר אלקטרוני, מעבדי תשלומים וכן הלאה,) מסתמכת על כן על אמון הרשויות המקומיות..

רשויות אישורים מנפיקות תעודות המבוססות על שרשרת אמון, ומנפיקות מספר תעודות בצורת מבנה עץ לרשות רשות סמכותית פחות. רשות אישורי שורש היא אפוא עוגן האמון עליו מתבסס האמון בכל רשות הרשות הפחות סמכותית. תעודת בסיס משמשת לאימות רשות אישורי שורש.

אז מי מנפיק את תעודות השורש?אישור שורש

באופן כללי, תעודות שורש מופצות על ידי מפתחי מערכות הפעלה כמו מיקרוסופט ואפל. רוב האפליקציות והדפדפנים של צד שלישי (כמו Chrome) משתמשים בתעודות השורש של המערכת, אך חלק מהמפתחים משתמשים בעצמם, ובמיוחד מוזילה (Firefox), Adobe, Opera, ו- Oracle המשמשים את המוצרים שלהם..

בעיות במערכת CA

לכן כל מערכת CA מסתמכת על אמון, אז איך אתה יודע שניתן לסמוך על האישורים האלה? ובכן, בסוף היום אתה צריך לסמוך על מישהו, ואם אתה סומך על מפתחי התוכנה שאתה משתמש, אתה צריך לבטוח בסרטים שלהם.

לפחות זו התיאוריה. כפי שמוכיחה אזהרת גוגל לאחרונה מפני תעודות SSL מזויפות, רק CA אחד "נוכל" המנפיק תעודות לא מהימנות עלול לגרום להרס, ולמרבה הצער רשויות תעודות יכולות (ונודעו) להנפיק תעודות מזויפות. האשם הרגיל לכך הוא ממשלות חסרי מצפון שמפעילות לחץ על חברות CA, אך פושעים יכולים גם הם להגיש זרועות תאגידים חזקות, והאקרים יכולים לפגוע במערכות שלהם.

קרן הגבול האלקטרונית (EFF) החלה פרויקט מצפה הכוכבים של SSL במטרה לחקור את כל התעודות המשמשות לאבטחת האינטרנט, והזמינו את הציבור לשלוח לו תעודות לניתוח. עם זאת, עד כמה שידוע לנו, פרויקט זה מעולם לא עלה על האדמה, ונמצא רדום במשך שנים.

אז למה כל המהומה בנושא מיקרוסופט 'מתגנב' להוסיף תעודות שורש?

יש פרשנים שחשפו כי מיקרוסופט מוסיפה תעודות שורש חדשות מבלי להתריע בפני המשתמשים או לבקש את רשותם. עם זאת עלינו לציין כי לרוב המוחלט של המשתמשים (כולל אותנו) אין דרך אמינה לקבוע אם רשות אישורי שורש נתונה היא אמינה או לא, מה שהופך את כל המחלוקת הזו לחסרת טעם בעיננו ...

אם אינך סומך על מיקרוסופט, אל תשתמש ב- Windows. כמובן שאם אתה רציני באבטחה, אתה ממילא לא אמור לסמוך על מיקרוסופט, וסביר מאוד שחלק מתעודות השורש שכבר נשלחו עם Windows מאפשרות ל- NSA לבצע התקפות MitM במחשב שלך אם הן היו בוחרות בכך. תיאוריות אלה יכולות להפנות אותך לאתרים מזויפים שנראים מקוריים לדפדפן שלך בזכות תעודות SSL מזויפות.

מי שרציני בתחום האבטחה צריך להשתמש בלינוקס (ורצוי בכך גם בהפרעה מוקשה). יש להדגיש כי לא ניתן לשקול שום מערכת הפעלה סלולרית באופן מעט מאובטח.

לראוי, רשימת הרשויות החדשות שנוספו לאחרונה לרשימת האישורים של מיקרוסופט נראית לנו לא מזיקה (רבים הם פשוט שדרוגים לתעודות ישנות יותר), אבל מי יודע?

כיצד להסיר אישור שורש

אם אתה באמת לא אוהב רשות אישורי שורש מסוימת, אתה יכול להסיר את אישור השורש שלה. ראו הוזהרת בכך שגורם לכך כל האישורים המונפקים על ידי אותה רשות אישורים אינם מהימנים, כמו גם את כל האישורים של כל אחד מאותם רשות המועצות 'הפחות' שהיא אישרה. הסרת אלה יכולה להשפיע לרעה מאוד על חוויית האינטרנט שלך.

בעקבות פיאסקו של אישורי זיוף מזויפים שנערכו לאחרונה על ידי גוגל, יש אנשים שממליצים להסיר את תעודות הסינית של הסינית. עם זאת אנו מדגישים כי פעולה זו היא לחלוטין על אחריותך בלבד.

חלונות

אנו משתמשים ב- Windows 8.1, אך התהליך צריך להיות דומה כמעט לכל הגרסאות של Windows.

1. לחץ באמצעות לחצן העכבר הימני על סמל Internet Explorer -> הפעל כמנהל

2. עבור אל כלים (סמל גלגל השיניים בצד שמאל למעלה) -> אפשרויות אינטרנט -> כרטיסיית תוכן -> תעודות -> רשויות אישור שורש מהימנות

3. בחר את האישור שברצונך להסיר ולחץ על 'הסר'. שים לב שזה כנראה רעיון טוב מאוד 'לייצא' אישור לגיבוי תחילה כדי שתוכל 'לשחזר' אותו שוב מאוחר יותר במידת הצורך.תוספות שורש של IE

פיירפוקס (גרסאות שולחן עבודה בלבד)

1. פתח את Firefox ועבור אל תפריט הפתיחה -> אפשרויות -> מתקדם -> תעודות -> הצגת תעודות

2. בחלון מנהל האישורים, לחץ על הכרטיסייה 'הרשויות', ותראה את רשימת אישורי השורש המורשים יחד עם האישורים / ים שהם אישרו מתחתיהם.

3. לחץ על אישור שאתה לא אוהב ולחץ על 'מחק או חוסר אמון'.Certs שורש פיירפוקס 1

לחץ על אישור אם אתה בטוחCerts שורש פיירפוקס 2

כדי להסיר לחלוטין אישור שורש נתון, עליך 'למחוק או לא לסמוך' על כל האישורים שהוא אישר. בדומה להסרת תעודות שורש של Windows, אנו ממליצים מאוד לגבות תחילה אישורים שהוסרו.

Mac OSX

אני לא משתמש ב- Mac, אבל כפי שאני מבין את זה, אפל לא מאפשרת למשתמשים להסיר אישורי שורש, גם כשאתה משתמש בהרשאות שורש. ניתן להסיר אישורים שאינם שורש באמצעות Keychain Access.

אנדרואיד (5.1 סוכרייה על מקל, אך דומה בכל הגרסאות)

1. עבור אל הגדרות -> אבטחה -> תעודות מהימנות -> כרטיסיית מערכת. גע בתגית הירוקה שליד האישור שאינך אוהב

2. גלול מטה דרך פרטי האישור לתחתית ובחר 'השבת'צירופי שורש אנדרואיד 1

iOSCerts שורש אנדרואיד 2

לא ניתן להסיר אישורי שורש ב- iOS (ניתן להסיר אישורים אישיים באמצעות כלי התצורה של ה- iPhone).

אובונטו (יהיה דומה לרוב הגרסאות של לינוקס)

הדרך הפשוטה ביותר לבטל את הבחירה של CA היא לפתוח את המסוף ולהפעיל:

תעודת cado dpkg-configure מחדש

לחץ על שטח כדי לבטל את בחירת האישור.Certs שורש אובונטו 3

רשימת ה- CAs נשמרת בקובץ /etc/ca-certificates.conf. ניתן לערוך זאת באופן ידני על ידי הזנת:

nano /etc/ca-certificates.conf

אם אתה עורך קובץ זה באופן ידני, עליך להפעיל את הפקודה הבאה כדי לעדכן את האישורים בפועל ב- / etc / ssl / certs /:Certs שורש אובונטו 4

תעודות עדכון sudo

(אם אתה משתמש בתצורה מחדש של dpkg זה נעשה באופן אוטומטי).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me