Недавно је дошло до полемике у вези с недавним ажурирањем које је тихо додало 17 нових роот сертификата Виндовс-у (и уклонило 1) без упозоравања корисника на чињеницу, што је навело неке да цели систем назову „покварен“.


Стога смо сматрали да је право време да објаснимо шта су роот сертификати и да ли читаоци треба да се брину ...

Шта је роот сертификат?

Када посетите веб локацију, како знате да је то веб локација коју мислите да посећујете? Интернет је одговор на овај проблем ССЛ сертификати (познати и као ХТТПС сертификати).

Када посетите ССЛ заштићену веб локацију (хттпс: //), осим што је веза обезбеђена ССЛ / ТСЛ енкрипцијом, веб локација ће вашем прегледачу представити ССЛ сертификат који показује да он (или тачније власништво над јавним кључем веб локације) ) је аутентификовано од стране признатог цертификационог тела (ЦА). Постоји око 1200 таквих ЦА-а.

Ако је прегледач представљен са важећим сертификатом, претпостављаће да је веб локација оригинална, покренуо сигурну везу и приказао закључани катанац у својој траци са УРЛ-ом како би упозорио кориснике да сматра веб локацију оригиналном и сигурном.

бествпн хттпс

Овај систем, који је камен темељац сигурности на Интернету, и користи се готово на сваком сигурном веб сајту који обрађује осетљиве информације (укључујући банке, услуге веб поште, процесоре плаћања и тако даље), стога се ослања на поверење у ЦА.

Ауторитети за издавање цертификата издају потврде засноване на ланцу поверења, издајући више сертификата у облику структуре стабла мање ауторитативним ЦА-има. Темељни ауторитет цертификата је сидро поверења на коме се заснива повјерење у све мање ауторитативне службе за потврду. Коријенски цертификат користи се за провјеру аутентичности коријенског цертификата.

Па ко издаје роот сертификате?роот церт

Генерално гледано, роот-ове цертификате дистрибуирају програмери ОС-а као што су Мицрософт и Аппле. Већина апликација и прегледача трећих страна (као што је Цхроме) користе матичне сертификате система, али неки програмери користе своје сопствене, нарочито Мозилла (Фирефок), Адобе, Опера и Орацле, које користе њихови производи.

Проблеми са ЦА системом

Цео систем ЦА стога се ослања на поверење, па како знате да се тим сертификатима може веровати? Па, на крају дана морате некоме да верујете, а ако верујете програмерима софтвера који користите, онда на неки начин морате да верујете њиховим цертсима.

Барем је то теорија. Као што показује недавно Гооглеово упозорење због лажних ССЛ сертификата, само један „лоповски“ ЦА који издаје непоуздане потврде може проузроковати пукотину, и нажалост, ауторитети за издавање сертификата могу (и за које је познато да) издају лажне цертификате. Уобичајени кривац за то су бескрупулозне владе које врше притисак на компаније из ЦА, али криминалци могу и снажне наоружане органе власти, а хакери могу да компромитују њихове системе.

Фондација Елецтрониц Фронтиер (ЕФФ) започела је пројекат ССЛ опсерваторија са циљем да истражи све сертификате који се користе за обезбеђивање интернета, позивајући јавност да му пошаље сертификате на анализу. Колико смо свесни, овај пројекат се, међутим, никада није срушио са земље и годинама заспао.

Па зашто се сва бука око Мицрософта „несносно“ додаје роот-ове цертификате?

Неки коментатори су се убацили у тизз преко Мицрософта додајући нове роот-сертификате, без упозоравања корисника и тражења њихове дозволе. Морамо напоменути, међутим, да велика већина корисника (укључујући и нас) нема поуздан начин да утврди да ли је неки коријенски цертификат поуздан или не, што чини читав овај спор прилично бесмисленим по нашем мишљењу ...

Ако не верујете Мицрософту, не користите Виндовс. Наравно, ако се озбиљно бавите безбедношћу, онда ионако заиста не треба да верујете Мицрософту, и врло је вероватно да неки од роот-сертификата који су већ испоручени са Виндовс-ом омогућавају НСА-у да изврши МитМ нападе на вашем рачунару ако тако желе. Теоретски би вас могли упутити на лажне веб локације које изгледају оригинално на вашем прегледачу захваљујући лажним ССЛ сертификатима.

Они који се озбиљно баве безбедношћу, требало би да користе Линук (и по могућности ојачани дистрокт у томе). Такође би требало нагласити да се ниједан мобилни ОС не може сматрати најмање сигурним.

Због оног што вреди, листа нових ауторитета за сертификате недавно додата на списак поверења за Мицрософт сертификат изгледа за нас прилично безопасна (многе су то једноставно надоградње старијих сертификата), али ко зна?

Како уклонити роот сертификат

Ако вам се заиста не свиђа одређени роот цертификат, тада можете уклонити његов роот сертификат. Будите упозорени да се тиме учинило да сви сертификати које је издао тај сертификациони орган немају поверење, као и све оне било којих 'мањих' ЦА које је овластио. Уклањање ових може имати врло негативан утицај на ваше искуство на интернету.

У јеку недавног фијаска сертификата о Гоогле лажним потврдама, неки људи препоручују уклањање кинеских ЦА. Наглашавамо, међутим, да је то потпуно на ваш ризик.

Виндовс

Користимо Виндовс 8.1, али процес би требало да буде приближно исти на свим верзијама оперативног система Виндовс.

1. Десном типком миша кликните икону Интернет Екплорер -> Покрени као администратор

2. Идите на Алати (икона зупчаника у горњем десном углу) -> Интернет опције -> Картица Садржај -> Сертификати -> Поуздани ауторитети за цертифицирање коријена

3. Изаберите потврду коју желите да уклоните и притисните "Уклони". Имајте на уму да је вероватно добра идеја да прво „извезите“ сертификат за резервне копије да бисте га касније могли поново да вратите по потреби.ИЕ корен цертс

Фирефок (само за радне верзије)

1. Отворите Фирефок и идите на Опен Мену -> Опције -> Напредно -> Сертификати -> Погледајте Сертификате

2. У прозору „Менаџер сертификата“ кликните на картицу „Ауторитети“ и видећете листу овлашћених коријенских службеника, заједно са сертификатима које су овлашћени испод њих

3. Кликните на цертификат који вам се не свиђа и притисните "Обриши или неповери"Фирефок роот цертс 1

Притисните ОК ако сте сигурниФирефок роот цертс 2

Да бисте у потпуности уклонили дати роот роот ЦА, морате да избришете или не поверите све сертификате које је овластио. Као и код уклањања Виндовс роот сертификата, топло препоручујемо да прво направите резервну копију уклоњених сертификата.

Мац ОСКС

Нисам корисник Мац рачунара, али како сам схватио, Аппле не дозвољава корисницима да уклањају коријенске цертификате, чак ни када користе роот привилегије. Некоријенски цертификати се могу уклонити помоћу Кеицхаин Аццесс-а.

Андроид (5.1 Лоллипоп, али слично у свим верзијама)

1. Идите на Подешавања -> Сигурност -> Поуздано уверење -> Картица система. Додирните зелени квачицу поред сертификата који вам се не свиђа

2. Помичите се по детаљима цертификата до дна и одаберите 'Онемогући'Андроид роот цертс 1

иОСАндроид роот цертс 2

Коријенски цертификати се не могу уклонити у иОС-у (лични цертификати се могу уклонити помоћу алата за конфигурацију иПхонеа).

Убунту (биће слично за већину верзија Линука)

Најједноставнији начин да поништите одабир ЦА-а је отварање Терминала и покретање:

судо дпкг-конфигуришите ца-цертификате

Притисните размак да бисте поништили одабир сертификата.Убунту роот цертс 3

Листа ЦА-а се чува у датотеци /етц/ца-цертифицате.цонф. Ово можете да измените ручно уношењем:

нано /етц/ца-цертифицате.цонф

Ако ручно уређујете ову датотеку, требате покренути сљедећу наредбу за ажурирање стварних цертификата у / етц / ссл / цертс /:Убунту роот цертс 4

судо упдате-ца-сертификати

(Ако користите дпкг-ре-конфигурирање, то се врши аутоматски).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me