Имаше спор за късно през скорошна актуализация, която тихо добави 17 нови коренни сертификата към Windows (и премахна 1), без да предупреждава потребителите за факта, което кара някои да наричат ​​цялата система „счупена“.


Ето защо решихме, че е подходящ момент да обясним какви са основните сертификати и дали читателите трябва да се притесняват ...

Какво е корен сертификат?

Когато посещавате уебсайт, как да разберете, че това е уебсайтът, който смятате, че посещавате? Отговорът на Интернет на този проблем са SSL сертификати (известни също като HTTPS сертификати).

Когато посетите защитен от SSL уебсайт (https: //), в допълнение към връзката, която е защитена чрез SSL / TSL криптиране, уебсайтът ще представи на браузъра ви SSL сертификат, който показва, че той (или по-точно притежава публичния ключ на уебсайта) ) е удостоверена от признат сертифициращ орган (CA). Има около 1200 такива СА.

Ако браузърът е представен с валиден сертификат, той ще предположи, че уебсайтът е истински, инициира защитена връзка и ще покаже заключен катинар в URL лентата му, за да предупреди потребителите, че счита уебсайта за истински и защитен.

bestvpn https

Тази система, която е крайъгълен камък на сигурността в интернет и се използва почти за всеки защитен уебсайт, който обработва чувствителна информация (включително банки, услуги за уеб поща, процесори за плащане и така нататък), следователно разчита на доверие на ЦЗ.

Органите за сертифициране издават сертификати на базата на верига от доверие, издавайки множество сертификати под формата на дървовидна структура на по-малко авторитетни ЦО. Коренният сертификатен орган е следователно доверието на основата на доверие във всички по-малко авторитетни ЦО. Коренният сертификат се използва за удостоверяване на root Certificate Authority.

Така че кой издава коренните сертификати?корен cert

Най-общо кореновите сертификати се разпространяват от разработчици на ОС като Microsoft и Apple. Повечето приложения и браузъри на трети страни (като Chrome) използват коренните сертификати на системата, но някои разработчици използват свои собствени, най-вече Mozilla (Firefox), Adobe, Opera и Oracle, които се използват от техните продукти.

Проблеми със системата на СА

Следователно цялата система на CA разчита на доверие, така че как знаете, че на тези сертификати може да се вярва? Е, в края на деня трябва да се доверите на някого и ако се доверите на разработчиците на софтуера, който използвате, тогава някак трябва да се доверите на техните сертификати.

Поне това е теорията. Както показва неотдавнашното предупреждение от Google за фалшиви SSL сертификати, само един „измамен“ CA, който издава ненадеждни сертификати, може да причини хаос и за съжаление сертифициращите органи могат (и за които е известно) да издават фалшиви сертификати. Обичайният виновник за това е безскрупулни правителства, които оказват натиск върху компаниите от CA, но престъпниците могат също така да оказват силна ръка на CA, а хакерите могат да компрометират своите системи.

Фондацията за електронни граници (ЕФР) започна проект за обсерватория на SSL с цел да проучи всички сертификати, използвани за осигуряване на интернет, като покани обществеността да му изпрати сертификати за анализ. Доколкото ни е известно обаче, този проект всъщност никога не е станал от земята и лежи в състояние на сън от години.

Така че защо всички шум около Microsoft "подъл" добавяне на root сертификати?

Някои коментатори са се забъркали в Microsoft, добавяйки нови коренни сертификати, без да предупреждават потребителите или да искат разрешението им. Трябва да отбележим обаче, че по-голямата част от потребителите (включително и нас) нямат надежден начин да определят дали даден корен сертифициращ орган е надежден или не, което прави целия този спор по-скоро безсмислен според нас ...

Ако не вярвате на Microsoft, тогава не използвайте Windows. Разбира се, ако сте сериозно за сигурността, тогава наистина не трябва да се доверявате на Microsoft, така или иначе е много вероятно някои от коренните сертификати, които вече са изпратени с Windows, дават възможност на NSA да изпълнява MitM атаки на вашия компютър, ако решат. Те на теория биха могли да ви насочат към фалшиви уебсайтове, които изглеждат истински на вашия браузър благодарение на фалшиви SSL сертификати.

Тези, които сериозно се отнасят към сигурността, трябва да използват Linux (и за предпочитане втвърден дистрибутор при това). Трябва също да се подчертае, че нито една мобилна ОС не може да се счита за най-малко сигурна.

За какво си струва, списъкът с нови сертификационни органи наскоро добавен към списъка с доверие на Microsoft Certificate Trust изглежда доста безобиден за нас (много от тях са просто надстройки на по-стари сертификати), но кой знае?

Как да премахнете корен сертификат

Ако наистина не харесвате конкретен root Certificate Authority, тогава можете да премахнете неговия корен сертификат. Бъдете предупредени, че това прави всички сертификати, които са издадени от този Сертифициращ орган, неподправени, както и всички тези на всеки от „по-малките“ СА, които е разрешил. Премахването им може да има много негативно влияние върху вашето интернет преживяване.

Вследствие на неотдавнашното фиаско на сертификатите за фалшиви сертификати от Google, някои хора препоръчват да премахнете китайските CA. Подчертаваме обаче, че това е изцяло на ваш риск.

Windows

Използваме Windows 8.1, но процесът трябва да е почти еднакъв във всички версии на Windows.

1. Щракнете с десния бутон върху иконата на Internet Explorer -> Изпълни като администратор

2. Отидете на Инструменти (икона на зъбно колело горе вдясно) -> интернет настройки -> Раздел Съдържание -> Сертификати -> Доверени органи за сертифициране на корени

3. Изберете сертификата, който искате да премахнете, и натиснете „Премахни“. Имайте предвид, че вероятно е много добра идея първо да „експортирате“ сертификат за архивиране, за да можете да го възстановите отново по-късно, ако е необходимо.IE корен certs

Firefox (само за настолни версии)

1. Отворете Firefox и отидете на Open Menu -> Настроики -> напреднал -> Сертификати -> Преглед на сертификати

2. В прозореца на диспечера на сертификати щракнете върху раздела „Авторитети“ и ще видите списъка с разрешени коренни сертификати, заедно със сертификатите (ите), които са оторизирали под тях.

3. Кликнете върху сертификат, който не ви харесва, и натиснете „Изтриване или недоверие“Firefox root certs 1

Натиснете ОК, ако сте сигурниFirefox root certs 2

За да премахнете напълно даден root CA, трябва да „Изтриете или недоверие“ всички сертификати, които е разрешил. Както при премахването на коренните сертификати на Windows, настоятелно препоръчваме първо да архивирате премахнатите сертификати.

Mac OSX

Не съм потребител на Mac, но както го разбирам, Apple не позволява на потребителите да премахват root сертификати, дори когато използват root права. Некорените сертификати могат да бъдат премахнати с помощта на Keychain Access.

андроид (5.1 Lollipop, но подобен на всички версии)

1. Отидете на Настройки -> Сигурност -> Надеждни удостоверения -> Раздел Система. Докоснете зеления отметка до сертификата, който не ви харесва

2. Превъртете надолу през детайлите на сертификата до дъното и изберете „Деактивиране“Android корен certs 1

IOSAndroid корен certs 2

Root сертификатите не могат да бъдат премахнати в iOS (личните сертификати могат да бъдат премахнати с помощта на помощната програма за конфигуриране на iPhone).

Ubuntu (ще бъде подобно за повечето версии на Linux)

Най-простият начин да премахнете избора на CA е да отворите Terminal и да стартирате:

sudo dpkg-преконфигурирайте ca-сертификати

Натиснете интервал, за да премахнете избора на сертификат.Ubuntu root certs 3

Списъкът с CA се съхранява във файла /etc/ca-certificate.conf. Това може да се редактира ръчно, като въведете:

nano /etc/ca-certifici.conf

Ако редактирате този файл ръчно, трябва да изпълните следната команда, за да актуализирате действителните сертификати в / etc / ssl / certs /:Ubuntu root certs 4

sudo update-ca-сертификати

(Ако използвате dpkg преконфигуриране, това се прави автоматично).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me