มีการโต้เถียงกันเกี่ยวกับการอัปเดตล่าสุดที่เพิ่มใบรับรองรูทใหม่ 17 รายการลงใน Windows (และลบ 1) อย่างเงียบ ๆ โดยไม่แจ้งให้ผู้ใช้ทราบถึงความจริงนำไปสู่การเรียกระบบทั้งหมด 'เสีย'.


เราคิดว่ามันเป็นเวลาที่ดีที่จะอธิบายว่าใบรับรองรูทคืออะไรและผู้อ่านควรเป็นห่วงหรือไม่ ...

ใบรับรองรูทคืออะไร?

เมื่อคุณเยี่ยมชมเว็บไซต์คุณจะรู้ได้อย่างไรว่าเป็นเว็บไซต์ที่คุณคิดว่าคุณกำลังเยี่ยมชม คำตอบของอินเทอร์เน็ตสำหรับปัญหานี้คือใบรับรอง SSL (หรือเรียกอีกอย่างว่าใบรับรอง HTTPS).

เมื่อคุณเยี่ยมชมเว็บไซต์ที่มีการรักษาความปลอดภัย SSL (https: //) นอกเหนือจากการเชื่อมต่อที่ปลอดภัยโดยใช้การเข้ารหัส SSL / TSL เว็บไซต์จะแสดงเบราว์เซอร์ของคุณพร้อมใบรับรอง SSL ที่แสดงว่า (หรือเป็นเจ้าของคีย์สาธารณะของเว็บไซต์อย่างถูกต้อง ) ได้รับการรับรองความถูกต้องโดยผู้ออกใบรับรองที่ได้รับการยอมรับ (CA) มีผู้ใช้ CA ประมาณ 1,200 ราย.

หากเบราว์เซอร์แสดงใบรับรองที่ถูกต้องก็จะถือว่าเว็บไซต์เป็นของแท้เริ่มการเชื่อมต่อที่ปลอดภัยและแสดงกุญแจล็อคในแถบ URL เพื่อเตือนผู้ใช้ว่าเว็บไซต์นั้นปลอดภัยและเป็นของแท้หรือไม่.

bestvpn https

ระบบนี้ซึ่งเป็นรากฐานสำคัญของการรักษาความปลอดภัยบนอินเทอร์เน็ตและใช้กับเว็บไซต์ที่ปลอดภัยทุกแห่งที่จัดการข้อมูลที่ละเอียดอ่อน (รวมถึงธนาคาร, บริการเว็บเมล, หน่วยประมวลผลการชำระเงินและอื่น ๆ ) ดังนั้นจึงต้องเชื่อใจ CAs.

ผู้ออกใบรับรองจะออกใบรับรองตามสายโซ่แห่งความไว้วางใจซึ่งจะออกใบรับรองหลายใบในรูปแบบโครงสร้างแบบต้นไม้ให้กับ CA ที่มีสิทธิ์น้อยลง ผู้ออกใบรับรองระดับรูทนั้นเป็นผู้ให้ความไว้วางใจซึ่งความไว้วางใจใน CA ที่มีสิทธิ์น้อยกว่าทั้งหมดจะขึ้นอยู่กับ ใบรับรองหลักใช้สำหรับตรวจสอบสิทธิ์ผู้ออกใบรับรองหลัก.

ดังนั้นใครเป็นผู้ออกใบรับรองรูท?ใบรับรองหลัก

โดยทั่วไปแล้วใบรับรองหลักถูกแจกจ่ายโดยผู้พัฒนาระบบปฏิบัติการเช่น Microsoft และ Apple แอพและเบราว์เซอร์ของบุคคลที่สามส่วนใหญ่ (เช่น Chrome) ใช้ใบรับรองหลักของระบบ แต่นักพัฒนาบางคนใช้ Mozilla (Firefox), Adobe, Opera และ Oracle ซึ่งเป็นผลิตภัณฑ์ของตนเอง.

ปัญหากับระบบ CA

ดังนั้นระบบ CA ทั้งหมดจึงเชื่อถือได้ดังนั้นคุณจะรู้ได้อย่างไรว่าใบรับรองเหล่านี้เชื่อถือได้? ในตอนท้ายของวันที่คุณต้องเชื่อใจใครสักคนและถ้าคุณไว้วางใจนักพัฒนาซอฟต์แวร์ที่คุณใช้คุณก็ต้องเชื่อใจพวกเขา.

อย่างน้อยนั่นก็คือทฤษฎี ตามคำเตือนของ Google เมื่อเร็ว ๆ นี้เกี่ยวกับใบรับรอง SSL ปลอมแสดงให้เห็นเพียงแค่ CA 'อันธพาล' ที่ออกใบรับรองที่ไม่น่าเชื่อถือเท่านั้นที่สามารถก่อให้เกิดความเสียหายได้และน่าเสียดายที่ผู้ออกใบรับรองสามารถ (และเป็นที่รู้จัก) ออกใบรับรองปลอม ผู้กระทำผิดตามปกติในเรื่องนี้คือรัฐบาลที่ไร้ยางอายกดดัน บริษัท CA แต่อาชญากรก็สามารถใช้ CA ที่แข็งแกร่งและแฮกเกอร์สามารถประนีประนอมระบบของพวกเขาได้.

Electronic Frontier Foundation (EFF) ได้เริ่มโครงการ SSL Observatory โดยมีจุดประสงค์ในการตรวจสอบใบรับรองทั้งหมดที่ใช้ในการรักษาความปลอดภัยอินเทอร์เน็ตเชิญประชาชนให้ส่งใบรับรองเพื่อการวิเคราะห์ เท่าที่เราทราบโครงการนี้ไม่เคยลงจากพื้นจริง ๆ และได้นอนหลับนานหลายปี.

ดังนั้นทำไมความสับสนของ Microsoft เกี่ยวกับการเพิ่มใบรับรองหลัก?

ผู้แสดงความคิดเห็นบางคนได้เข้าร่วมเป็น tizz ผ่านทาง Microsoft โดยเพิ่มใบรับรองหลักใหม่โดยไม่แจ้งเตือนผู้ใช้หรือขออนุญาต อย่างไรก็ตามเราต้องทราบว่าผู้ใช้ส่วนใหญ่ (รวมถึงเรา) ไม่มีวิธีที่เชื่อถือได้ในการตรวจสอบว่าผู้ให้บริการออกใบรับรองรูทนั้นเชื่อถือได้หรือไม่ซึ่งทำให้ข้อพิพาททั้งหมดนี้ไม่มีประโยชน์

หากคุณไม่เชื่อถือ Microsoft อย่าใช้ Windows แน่นอนถ้าคุณจริงจังกับความปลอดภัยคุณไม่ควรไว้ใจ Microsoft จริงๆและเป็นไปได้มากว่าใบรับรองรูทที่มาพร้อมกับ Windows นั้นอนุญาตให้ NSA ทำการโจมตี MitM บนคอมพิวเตอร์ของคุณได้ ในทางทฤษฎีแล้วสิ่งเหล่านี้อาจนำคุณไปสู่เว็บไซต์ปลอมที่ดูเป็นของแท้จากเบราว์เซอร์ด้วยใบรับรอง SSL ปลอม.

ผู้ที่จริงจังเกี่ยวกับความปลอดภัยควรใช้ Linux (และควรเป็น distro ที่ชุบแข็ง) ควรเน้นด้วยว่าไม่มีระบบปฏิบัติการมือถือใดที่สามารถถือได้ว่าปลอดภัยน้อยที่สุด.

สำหรับสิ่งที่คุ้มค่ารายการผู้ออกใบรับรองใหม่ที่เพิ่งเพิ่มลงในรายการใบรับรองความน่าเชื่อถือของ Microsoft นั้นดูไม่เป็นอันตรายต่อเรา (หลาย ๆ คนเพิ่งอัพเกรดเป็นใบรับรองเก่า) แต่ใครจะรู้?

วิธีลบใบรับรองรูท

หากคุณไม่ชอบผู้ออกใบรับรองรูทรายใดรายหนึ่งคุณสามารถลบใบรับรองรูทออกได้ ได้รับการเตือนว่าการทำเช่นนี้ทำให้ใบรับรองทั้งหมดที่ออกโดยหน่วยงานผู้ออกใบรับรองนั้นไม่น่าเชื่อถือรวมถึงใบรับรอง CA ที่ 'น้อยกว่า' ทั้งหมดที่ได้รับอนุญาต การลบสิ่งเหล่านี้อาจส่งผลเสียต่อประสบการณ์อินเทอร์เน็ตของคุณ.

หลังจากความล้มเหลวของใบรับรองปลอมของ Google เมื่อเร็ว ๆ นี้บางคนแนะนำให้ลบ CA ของจีน อย่างไรก็ตามเราเน้นว่าการทำเช่นนั้นเป็นความเสี่ยงของคุณเองทั้งหมด.

ของ windows

เรากำลังใช้ Windows 8.1 แต่กระบวนการควรจะค่อนข้างเหมือนกันใน Windows ทุกรุ่น.

1. คลิกขวาที่ไอคอน Internet Explorer -> ทำงานในฐานะผู้ดูแลระบบ

2. ไปที่เครื่องมือ (ไอคอนรูปเฟืองด้านบนขวา) -> ตัวเลือกอินเทอร์เน็ต -> แท็บเนื้อหา -> ใบรับรอง -> ผู้ออกใบรับรองหลักที่เชื่อถือได้

3. เลือกใบรับรองที่คุณต้องการลบแล้วกด ‘ลบ’ โปรดทราบว่าอาจเป็นความคิดที่ดีมากที่จะ "ส่งออก" ใบรับรองสำหรับการสำรองข้อมูลก่อนเพื่อให้คุณสามารถ "กู้คืน" ได้ในภายหลังหากจำเป็น.ใบรับรองราก IE

Firefox (รุ่นเดสก์ท็อปเท่านั้น)

1. เปิด Firefox และไปที่เมนูเปิด -> ตัวเลือก -> สูง -> ใบรับรอง -> ดูใบรับรอง

2. ในหน้าต่างตัวจัดการใบรับรองคลิกที่แท็บ 'ผู้มีอำนาจ' และคุณจะเห็นรายการของรูต CA ที่ได้รับอนุญาตพร้อมกับใบรับรองที่พวกเขาได้รับอนุญาตด้านล่าง

3. คลิกที่ใบรับรองที่คุณไม่ชอบและกด ‘ลบหรือไม่ไว้ใจ’Firefox root certs 1

กดตกลงถ้าคุณแน่ใจFirefox root certs 2

ในการลบรูท CA ที่ระบุอย่างสมบูรณ์คุณจะต้อง "ลบหรือไม่ไว้วางใจ" ใบรับรองทั้งหมดที่ได้รับอนุญาต เช่นเดียวกับการลบใบรับรองหลักของ Windows เราขอแนะนำให้สำรองข้อมูลใบรับรองที่ถูกลบออกก่อน.

Mac OSX

ฉันไม่ใช่ผู้ใช้ Mac แต่ฉันเข้าใจแล้วว่า Apple ไม่อนุญาตให้ผู้ใช้ลบใบรับรองหลักแม้ว่าจะใช้สิทธิ์พิเศษ สามารถลบใบรับรองที่ไม่ใช่รูทได้โดยใช้ Keychain Access.

Android (5.1 Lollipop แต่คล้ายกันทุกรุ่น)

1. ไปที่การตั้งค่า -> ความปลอดภัย -> ข้อมูลรับรองที่เชื่อถือได้ -> แท็บระบบ แตะขีดสีเขียวที่อยู่ถัดจากใบรับรองที่คุณไม่ต้องการ

2. เลื่อนลงไปตามรายละเอียดใบรับรองที่ด้านล่างและเลือก "ปิดใช้งาน"ใบรับรองรูท Android 1

iOSAndroid รูท certs 2

ไม่สามารถลบใบรับรองหลักใน iOS (สามารถลบใบรับรองส่วนบุคคลโดยใช้ยูทิลิตี้กำหนดค่า iPhone).

อูบุนตู (จะคล้ายกับ Linux รุ่นส่วนใหญ่)

วิธีที่ง่ายที่สุดในการยกเลิกการเลือก CA คือการเปิด Terminal และเรียกใช้:

sudo dpkg- กำหนดค่า ca-certificate

กด space เพื่อยกเลิกการเลือกใบรับรอง.อูบุนตูรูต certs 3

รายการของ CAs จะถูกเก็บไว้ในไฟล์ /etc/ca-certificates.conf สามารถแก้ไขได้ด้วยตนเองโดยป้อน:

นาโน /etc/ca-certificates.conf

หากคุณแก้ไขไฟล์นี้ด้วยตนเองคุณต้องรันคำสั่งต่อไปนี้เพื่ออัพเดตใบรับรองจริงใน / etc / ssl / certs /:อูบุนตูรูต certs 4

sudo update-ca-certificate

(หากคุณใช้ dpkg- กำหนดค่าใหม่จะทำโดยอัตโนมัติ).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me