Ada beberapa kontroversi akhir-akhir ini mengenai pembaruan terkini yang dengan diam-diam menambahkan 17 sertifikat root baru ke Windows (dan menghapus 1) tanpa mengingatkan pengguna akan fakta tersebut, membuat beberapa orang memanggil seluruh sistem 'rusak'.


Karena itu, kami pikir ini saat yang tepat untuk menjelaskan apa sertifikat root, dan apakah pembaca harus khawatir ...

Apa itu sertifikat root?

Ketika Anda mengunjungi situs web, bagaimana Anda tahu bahwa itu adalah situs web yang Anda pikir Anda kunjungi? Jawaban internet untuk masalah ini adalah sertifikat SSL (juga dikenal sebagai sertifikat HTTPS).

Saat Anda mengunjungi situs web yang dilindungi SSL (https: //), selain koneksi yang diamankan menggunakan enkripsi SSL / TSL, situs web akan memberikan browser Anda dengan sertifikat SSL yang menunjukkan bahwa itu (atau lebih akurat kepemilikan kunci publik situs web) ) telah dikonfirmasi oleh Otoritas Sertifikat (CA) yang diakui. Ada sekitar 1200 CA semacam itu yang ada.

Jika browser disajikan dengan sertifikat yang valid maka itu akan menganggap situs web asli, memulai koneksi yang aman, dan menampilkan gembok yang terkunci di bilah URL-nya untuk mengingatkan pengguna bahwa itu menganggap situs web itu asli dan aman.

https bestvpn

Sistem ini, yang merupakan landasan keamanan di internet, dan digunakan hampir setiap situs web aman yang menangani informasi sensitif (termasuk bank, layanan webmail, pemroses pembayaran dan sebagainya,) karena itu mengandalkan kepercayaan CAs.

Otoritas Sertifikat mengeluarkan sertifikat berdasarkan rantai kepercayaan, mengeluarkan banyak sertifikat dalam bentuk struktur pohon kepada CA yang kurang otoritatif. Karenanya, Otoritas Sertifikat akar adalah jangkar kepercayaan yang menjadi dasar kepercayaan pada semua CA yang kurang otoritatif. Sertifikat root digunakan untuk mengotentikasi Otoritas Sertifikat root.

Jadi siapa yang mengeluarkan sertifikat root?sertifikat root

Secara umum, sertifikat root didistribusikan oleh pengembang OS seperti Microsoft dan Apple. Sebagian besar aplikasi dan browser pihak ketiga (seperti Chrome) menggunakan sertifikat root sistem, tetapi beberapa pengembang menggunakan sendiri, terutama Mozilla (Firefox), Adobe, Opera, dan Oracle, yang digunakan oleh produk mereka.

Masalah dengan sistem CA

Seluruh sistem CA bergantung pada kepercayaan, jadi bagaimana Anda tahu sertifikat ini dapat dipercaya? Nah, pada akhirnya Anda harus memercayai seseorang, dan jika Anda memercayai pengembang perangkat lunak yang Anda gunakan, maka Anda harus memercayai sertifikat mereka..

Setidaknya itulah teorinya. Seperti yang diperlihatkan peringatan Google baru-baru ini atas sertifikat SSL palsu, hanya satu ‘nakal’ CA yang mengeluarkan sertifikat tidak dapat diandalkan dapat menyebabkan kekacauan, dan sayangnya Otoritas Sertifikat dapat (dan telah diketahui) mengeluarkan sertifikat palsu. Penyebab umum untuk ini adalah Pemerintah yang tidak bermoral menekan perusahaan-perusahaan CA, tetapi penjahat juga dapat memperkuat CA, dan peretas dapat membahayakan sistem mereka..

Electronic Frontier Foundation (EFF) memulai proyek Observatorium SSL dengan tujuan menyelidiki semua sertifikat yang digunakan untuk mengamankan internet, mengundang masyarakat untuk mengirimkannya sertifikat untuk dianalisis. Sejauh yang kami ketahui, proyek ini tidak pernah benar-benar selesai, dan telah terbengkalai selama bertahun-tahun.

Jadi mengapa semua repot tentang Microsoft 'diam-diam' menambahkan sertifikat root?

Beberapa komentator merasa heran tentang Microsoft menambahkan sertifikat root baru tanpa memperingatkan pengguna atau meminta izin mereka. Namun, kami harus mencatat bahwa sebagian besar pengguna (termasuk kami) tidak memiliki cara yang dapat diandalkan untuk menentukan apakah Otoritas Sertifikat yang diberikan dapat dipercaya atau tidak, yang membuat seluruh perselisihan ini agak tidak berarti dalam pandangan kami ...

Jika Anda tidak mempercayai Microsoft, maka jangan gunakan Windows. Tentu saja, jika Anda serius tentang keamanan maka Anda benar-benar tidak boleh mempercayai Microsoft, dan sangat mungkin bahwa beberapa sertifikat root yang sudah dikirim dengan Windows memungkinkan NSA untuk melakukan serangan MitM di komputer Anda jika mereka memilih demikian. Ini secara teori bisa mengarahkan Anda ke situs web palsu yang terlihat asli untuk browser Anda berkat sertifikat SSL palsu.

Mereka yang serius tentang keamanan harus menggunakan Linux (dan lebih baik distro yang diperkeras pada saat itu). Juga harus ditekankan bahwa tidak ada OS seluler yang dapat dianggap sedikit pun aman.

Untuk apa nilainya, daftar Otoritas Sertifikat baru yang baru-baru ini ditambahkan ke Daftar Kepercayaan Sertifikat Microsoft terlihat tidak berbahaya bagi kami (banyak yang hanya upgrade ke sertifikat yang lebih lama,) tetapi siapa yang tahu?

Cara menghapus sertifikat root

Jika Anda benar-benar tidak menyukai Otoritas Sertifikat root tertentu, maka Anda dapat menghapus sertifikat root-nya. Berhati-hatilah karena melakukan hal itu membuat semua sertifikat yang dikeluarkan oleh Otoritas Sertifikat itu tidak dipercaya, dan juga semua sertifikat CA yang 'lebih rendah' ​​yang disahkannya. Menghapus ini dapat memiliki dampak yang sangat negatif pada pengalaman internet Anda.

Setelah kegagalan sertifikat palsu Google baru-baru ini, beberapa orang merekomendasikan untuk menghapus CA Cina. Kami menekankan, bagaimanapun, bahwa melakukannya sepenuhnya dengan risiko Anda sendiri.

Windows

Kami menggunakan Windows 8.1, tetapi prosesnya harus hampir sama pada semua versi Windows.

1. Klik kanan ikon Internet Explorer -> Jalankan sebagai administrator

2. Pergi ke Alat (ikon roda gigi di kanan atas) -> pilihan internet -> Tab konten -> Sertifikat -> Otoritas Sertifikasi Root Tepercaya

3. Pilih sertifikat yang ingin Anda hapus, dan tekan ‘Hapus’. Perhatikan bahwa mungkin ide yang sangat bagus untuk ‘Ekspor’ sertifikat untuk cadangan terlebih dahulu sehingga Anda dapat ‘Kembalikan’ lagi nanti jika diperlukan.Sertifikat root IE

Firefox (hanya versi desktop)

1. Buka Firefox dan buka Open Menu -> Pilihan -> Maju -> Sertifikat -> Lihat Sertifikat

2. Di jendela Manajer Sertifikat, klik pada tab ‘Otoritas’, dan Anda akan melihat daftar CA root resmi, bersama dengan sertifikat yang telah mereka otorisasi di bawahnya

3. Klik pada sertifikat yang tidak Anda sukai, dan tekan ‘Hapus atau Ketidakpercayaan’Sertifikat root Firefox 1

Tekan OK jika Anda yakinSertifikat root Firefox 2

Untuk sepenuhnya menghapus root CA yang diberikan, Anda harus ‘Hapus atau Kecurigaan semua sertifikat yang diotorisasi. Seperti halnya menghapus sertifikat root Windows, kami sangat menyarankan untuk mencadangkan sertifikat yang dihapus terlebih dahulu.

Mac OSX

Saya bukan pengguna Mac, tetapi seperti yang saya pahami Apple tidak mengizinkan pengguna untuk menghapus sertifikat root, bahkan ketika menggunakan hak akses root. Sertifikat non-root dapat dihapus menggunakan Akses Keychain.

Android (5.1 Lollipop, tetapi serupa pada semua versi)

1. Buka Pengaturan -> Keamanan -> Kredensial Tepercaya -> Tab sistem. Sentuh tanda centang hijau di sebelah sertifikat yang tidak Anda sukai

2. Gulir ke bawah melalui perincian sertifikat ke bawah, dan pilih ‘Nonaktifkan’Sertifikat root Android 1

iOSSertifikat root Android 2

Sertifikat root tidak dapat dihapus di iOS (sertifikat pribadi dapat dihapus menggunakan iPhone Configuration Utility).

Ubuntu (akan serupa untuk sebagian besar versi Linux)

Cara paling sederhana untuk membatalkan pilihan CA adalah membuka Terminal dan menjalankan:

sudo dpkg-konfigurasi ulang ca-sertifikat

Tekan spasi untuk membatalkan pilihan sertifikat.Sertifikat root Ubuntu 3

Daftar CA disimpan dalam file /etc/ca-certificates.conf. Ini dapat diedit secara manual dengan memasukkan:

nano /etc/ca-certificates.conf

Jika Anda mengedit file ini secara manual maka Anda perlu menjalankan perintah berikut untuk memperbarui sertifikat aktual di / etc / ssl / certs /:Sertifikat root Ubuntu 4

sudo perbarui-ca-sertifikat

(Jika Anda menggunakan dpkg-konfigurasi ulang ini dilakukan secara otomatis).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me