Nedavno je došlo do polemike u vezi s nedavnim ažuriranjem koje je tiho dodalo 17 novih korijenskih certifikata sustavu Windows (i uklonilo 1) bez upozoravanja korisnika na činjenicu, što je neke dovelo do toga da cijeli sustav nazivaju "pokvarenim".


Stoga smo smatrali da je dobro vrijeme da objasnimo što su korijenski certifikati i treba li čitatelje zabrinjavati ...

Što je korijenski certifikat?

Kada posjetite web mjesto, kako znate da je to web mjesto za koje mislite da posjetite? Internet je odgovor na ovaj problem SSL certifikati (poznati i kao HTTPS certifikati).

Kada posjetite SSL zaštićenu web stranicu (https: //), osim što je veza osigurana SSL / TSL enkripcijom, web stranica će vašem pregledniku predstaviti SSL certifikat koji pokazuje da on (ili točnije vlasništvo nad javnim ključem web lokacije) ) ovjeren je od strane priznatog certifikacijskog tijela (CA). Postoji oko 1200 takvih službenih tijela.

Ako je pregledniku predstavljen valjani certifikat, pretpostavit će da je web lokacija originalna, uspostaviti sigurnu vezu i prikazati zaključani katanac u svojoj traci URL-a kako bi upozorio korisnike da web lokaciju smatra originalnom i sigurnom.

bestvpn https

Ovaj sustav, koji je kamen temeljac sigurnosti na Internetu, i koristi se gotovo na svakom sigurnom web mjestu koje obrađuje osjetljive podatke (uključujući banke, usluge web pošte, procesore plaćanja i tako dalje), stoga se oslanja na povjerenje službenicima.

Tijela za izdavanje certifikata izdaju certifikate na temelju lanca povjerenja, izdajući više certifikata u obliku strukture stabla manje autoritativnim nadležnim tijelima. Temeljno tijelo za ovjeru je stoga sidro povjerenja na kojem se temelji povjerenje u sve manje autoritativne službe za potvrdu. Korijenski certifikat koristi se za provjeru autentičnosti korijenskog certifikata.

Pa tko izdaje korijenske certifikate?korijenska cert

Generalno gledano, korijenske certifikate distribuiraju programeri OS-a kao što su Microsoft i Apple. Većina aplikacija i preglednika trećih strana (poput Chrome-a) koriste korijenske certifikate sustava, ali neki programeri koriste vlastite, ponajviše Mozilla (Firefox), Adobe, Opera i Oracle, koji se koriste u njihovim proizvodima.

Problemi s CA sustavom

Cijeli sustav CA stoga se oslanja na povjerenje, pa kako znate da se tim certifikatima možete vjerovati? Pa, na kraju dana morate nekome vjerovati, a ako vjerujete programerima softvera koji koristite, tada nekako morate vjerovati njihovim certsima.

Barem je to teorija. Kao što pokazuje nedavno upozorenje Googlea zbog lažnih SSL certifikata, samo jedan „skitni“ CA koji izdaje nepouzdane potvrde može prouzrokovati pukotinu, i nažalost, tijela za izdavanje certifikata mogu (i za koje se zna da) mogu izdati lažne potvrde. Uobičajeni krivac za to su beskrupulozne vlade koje vrše pritisak na tvrtke iz CA-e, ali kriminalci mogu i naoružane organe vlasti, a hakeri mogu kompromitirati njihove sustave.

Zaklada Electronic Frontier (EFF) pokrenula je projekt SSL Observatory s ciljem istrage svih certifikata koji se koriste za sigurnost interneta, pozivajući javnost da joj pošalje certifikate na analizu. Koliko smo svjesni, ovaj projekt se nikada nije srušio sa zemlje i već dulje vrijeme spava.

Pa zašto sva buka oko Microsofta 'lukavo' dodaje korijenske certifikate?

Neki komentatori upali su u varku zbog dodavanja novih korijenskih potvrda bez upozorenja korisnika i traženja njihovog dopuštenja. Moramo napomenuti, međutim, da velika većina korisnika (uključujući nas) nema pouzdan način da utvrdi je li određeno korijensko tijelo certifikata pouzdano ili ne, što čini cijeli ovaj spor prilično besmislenim ...

Ako ne vjerujete Microsoftu, ne upotrebljavajte Windows. Naravno, ako se ozbiljno bavite sigurnosti, tada nikako ne biste trebali vjerovati Microsoftu, a vrlo je vjerojatno da neki korijenski certifikati koji su već isporučeni s Windows-om omogućuju NSA-u da izvrši MitM napade na vašem računalu ako tako odluče. Teoretski bi vas mogli uputiti na lažne web stranice koje izgledaju originalno na vašem pregledniku zahvaljujući lažnim SSL certifikatima.

Oni koji se ozbiljno bave sigurnosti, trebali bi koristiti Linux (po mogućnosti i ojačani daljinski upravljač). Također treba naglasiti da se nijedan mobilni OS ne može smatrati ni najmanjim dijelom sigurno.

Za ono što vrijedi, popis novih tijela certifikata nedavno dodanih na Microsoftov popis certifikata izgleda prilično bezopasno za nas (mnoge su to jednostavno nadogradnje starijih certifikata), ali tko zna?

Kako ukloniti korijenski certifikat

Ako vam se stvarno ne sviđa određeno korijensko tijelo za potvrdu, tada možete ukloniti njegov korijenski certifikat. Napominjemo da se time ne mogu povjeriti sve potvrde koje je izdalo to tijelo za izdavanje certifikata, kao i sve one bilo kojih 'manjih' CA-ova koje je ovlastio. Njihovo uklanjanje može imati vrlo negativan utjecaj na vaše internetsko iskustvo.

U jeku nedavnog fijaska Googleovih lažnih certifikata, neki ljudi preporučuju uklanjanje kineskog službenika CA. Naglašavamo, međutim, da je to potpuno na vaš rizik.

Windows

Koristimo Windows 8.1, ali postupak bi trebao biti približno isti na svim verzijama sustava Windows.

1. Desnom tipkom miša kliknite ikonu Internet Explorer -> Pokreni kao administrator

2. Idite na Alati (ikona zupčanika gore desno) -> Internet opcije -> Kartica Sadržaj -> Potvrde -> Pouzdan autoritet za certificiranje korijena

3. Odaberite potvrdu koju želite ukloniti i pritisnite "Ukloni". Imajte na umu da je vjerojatno vrlo dobra ideja prvo izvesti certifikat za sigurnosnu kopiju kako biste ga kasnije mogli ponovo vratiti, ako je potrebno.IE korijenski certs

Firefox (samo verzije za radne površine)

1. Otvorite Firefox i idite na Open Menu -> Opcije -> Napredna -> Potvrde -> Pogledajte potvrde

2. U prozoru Upravitelj certifikata pritisnite karticu "Autoriteti" i vidjet ćete popis ovlaštenih korijenskih službenika, zajedno s certifikatima koje su ovlastili ispod njih

3. Kliknite na certifikat koji vam se ne sviđa i pritisnite "Izbriši ili nepovjeri"Firefox korijena certs 1

Pritisnite OK ako ste sigurniFirefox korijena certs 2

Da biste u potpunosti uklonili zadani korijenski CA, morate 'izbrisati ili nepovjeriti' sve certifikate koje je ovlaštio. Kao i kod uklanjanja korijenskih certifikata sustava Windows, savjetujemo da prvo izradite sigurnosnu kopiju uklonjenih certifikata.

Mac OSX

Nisam korisnik Maca, ali kako sam shvatio, Apple ne dopušta korisnicima da uklanjaju korijenske certifikate, čak ni kada koriste root povlastice. Nekorijenski certifikati mogu se ukloniti pomoću Keychain Accessa.

Android (5.1 Lollipop, ali slično u svim verzijama)

1. Idite na Postavke -> sigurnosti -> Pouzdane vjerodajnice -> Kartica sustava. Dodirnite zeleni kvačicu pored certifikata koji vam se ne sviđa

2. Pomičite se po pojedinostima certifikata do dna i odaberite "Onemogući"Android root certs 1

iOSAndroid root certs 2

Root potvrde nije moguće ukloniti u iOS-u (osobni certifikati mogu se ukloniti pomoću alata za konfiguriranje iPhonea).

Ubuntu (bit će slično za većinu verzija Linuxa)

Najjednostavniji način poništavanja odabira usluge CA je otvaranje Terminala i pokretanje:

sudo dpkg-rekonfigurirati ca-certifikate

Pritisnite razmak da biste poništili odabir certifikata.Ubuntu root certs 3

Popis službenih tijela pohranjen je u datoteku /etc/ca-certificate.conf. To možete ručno urediti unosom:

nano /etc/ca-certificate.conf

Ako ručno uredite ovu datoteku, trebate pokrenuti sljedeću naredbu za ažuriranje stvarnih potvrda u / etc / ssl / certs /:Ubuntu root certs 4

sudo update-ca-potvrde

(Ako koristite dpkg-re-konfiguriranje, to se vrši automatski).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me