Una guida ai certificati di root

Ci sono state alcune controversie negli ultimi tempi su un recente aggiornamento che ha aggiunto tranquillamente 17 nuovi certificati di root a Windows (e rimosso 1) senza avvisare gli utenti sul fatto, portando alcuni a chiamare l'intero sistema "rotto".

Pertanto abbiamo pensato che fosse un buon momento per spiegare cosa sono i certificati di root e se i lettori dovrebbero essere preoccupati ...

Che cos'è un certificato radice?

Quando visiti un sito Web, come fai a sapere che è il sito Web che pensi di visitare? La risposta di Internet a questo problema sono i certificati SSL (noti anche come certificati HTTPS).

Quando visiti un sito Web protetto SSL (https: //), oltre alla connessione protetta mediante la crittografia SSL / TSL, il sito Web presenterà al tuo browser un certificato SSL che mostra che (o più precisamente la proprietà della chiave pubblica del sito Web ) è stato autenticato da un'autorità di certificazione riconosciuta (CA). Esistono circa 1200 tali CA esistenti.

Se un browser viene presentato con un certificato valido, supporrà che un sito Web sia autentico, avvierà una connessione protetta e visualizzerà un lucchetto bloccato nella sua barra degli URL per avvisare gli utenti che considera il sito Web autentico e sicuro.

bestvpn https

Questo sistema, che è la pietra angolare della sicurezza su Internet, e viene utilizzato praticamente in tutti i siti Web sicuri che gestiscono informazioni riservate (tra cui banche, servizi di webmail, processori di pagamento e così via) e pertanto si affida alla fiducia delle autorità di certificazione..

Le autorità di certificazione rilasciano certificati basati su una catena di fiducia, emettendo più certificati sotto forma di una struttura ad albero a CA meno autorevoli. Un'autorità di certificazione radice è quindi l'ancoraggio di fiducia su cui si basa la fiducia in tutte le CA meno autorevoli. Un certificato radice viene utilizzato per autenticare un'autorità di certificazione radice.

Quindi chi emette i certificati di root?certificato di root

In generale, i certificati di root sono distribuiti da sviluppatori di sistemi operativi come Microsoft e Apple. La maggior parte delle app e dei browser di terze parti (come Chrome) utilizzano i certificati di root del sistema, ma alcuni sviluppatori usano i propri, in particolare Mozilla (Firefox), Adobe, Opera e Oracle, che vengono utilizzati dai loro prodotti.

Problemi con il sistema CA.

L'intero sistema CA si basa quindi sulla fiducia, quindi come fai a sapere che questi certificati possono essere affidabili? Bene, alla fine devi fidarti di qualcuno e se ti fidi degli sviluppatori del software che usi, allora devi fidarti dei loro certificati.

Almeno questa è la teoria. Come dimostra un recente avviso di Google su certificati SSL falsi, solo una CA "non autorizzata" che emette certificati inaffidabili può causare caos, e purtroppo le autorità di certificazione possono (e si sa che) rilasciare certificati falsi. Il solito colpevole per questo è che i governi senza scrupoli esercitano pressioni sulle società di CA, ma i criminali possono anche rafforzare le CA e gli hacker possono compromettere i loro sistemi.

La Electronic Frontier Foundation (EFF) ha avviato un progetto dell'Osservatorio SSL allo scopo di indagare su tutti i certificati utilizzati per proteggere Internet, invitando il pubblico a inviarlo per l'analisi. Per quanto ne sappiamo, tuttavia, questo progetto non è mai realmente decollato e è rimasto inattivo per anni.

Quindi perché tutte le storie di Microsoft "aggiungono" in modo subdolo i certificati di root?

Alcuni commentatori si sono fatti prendere la briga che Microsoft abbia aggiunto nuovi certificati di root senza avvisare gli utenti o chiederne l'autorizzazione. Dobbiamo notare, tuttavia, che la stragrande maggioranza degli utenti (incluso noi) non ha un modo affidabile per determinare se una determinata autorità di certificazione radice sia affidabile o meno, il che rende l'intera controversia piuttosto inutile dal nostro punto di vista ...

Se non ti fidi di Microsoft, non utilizzare Windows. Ovviamente, se sei seriamente interessato alla sicurezza, non dovresti comunque fidarti di Microsoft, ed è molto probabile che alcuni dei certificati radice già forniti con Windows consentano alla NSA di eseguire attacchi MitM sul tuo computer, se lo desiderano. Questi potrebbero teoricamente indirizzarti a siti Web fasulli che sembrano autentici per il tuo browser grazie a certificati SSL falsi.

Quelli seri sulla sicurezza dovrebbero usare Linux (e preferibilmente una distro rafforzata in questo). Va inoltre sottolineato che nessun sistema operativo mobile può essere considerato minimamente sicuro.

Per quello che vale, l'elenco delle nuove autorità di certificazione recentemente aggiunte all'elenco di fiducia dei certificati Microsoft ci sembra abbastanza innocuo (molti sono semplicemente aggiornamenti a certificati precedenti), ma chi lo sa?

Come rimuovere un certificato radice

Se davvero non ti piace una particolare autorità di certificazione radice, puoi rimuovere il suo certificato radice. Tieni presente che, in tal modo, tutti i certificati emessi da tale autorità di certificazione non sono attendibili, nonché tutti quelli delle CA "minori" che ha autorizzato. La rimozione di questi può avere un impatto molto negativo sulla tua esperienza su Internet.

Sulla scia del recente fiasco dei certificati falsi di Google, alcune persone consigliano di rimuovere le autorità di certificazione cinesi. Sottolineiamo, tuttavia, che farlo è interamente a proprio rischio.

finestre

Stiamo usando Windows 8.1, ma il processo dovrebbe essere praticamente lo stesso su tutte le versioni di Windows.

1. Fare clic con il tasto destro sull'icona di Internet Explorer -> Eseguire come amministratore

2. Vai su Strumenti (icona a forma di ingranaggio in alto a destra) -> Opzioni Internet -> Scheda Contenuto -> certificati -> Autorità di certificazione Fidata

3. Seleziona il certificato che desideri rimuovere e premi "Rimuovi". Tieni presente che è probabilmente un'ottima idea "Esportare" prima un certificato per il backup in modo da poterlo "ripristinare" in un secondo momento, se necessario.IE Certs root

Firefox (solo versioni desktop)

1. Apri Firefox e vai al menu Apri -> Opzioni -> Avanzate -> certificati -> Visualizza certificati

2. Nella finestra Gestione certificati, fai clic sulla scheda "Autorità" e vedrai l'elenco delle CA radice autorizzate, insieme ai certificati che hanno autorizzato al di sotto di esse

3. Fai clic su un certificato che non ti piace e premi "Elimina o Diffida"Firefox root certs 1

Premi OK se sei sicuroFirefox root certs 2

Per rimuovere completamente una determinata CA principale, è necessario "Elimina o diffida" tutti i certificati che ha autorizzato. Come per la rimozione dei certificati radice di Windows, consigliamo vivamente di eseguire prima il backup dei certificati rimossi.

Mac OSX

Non sono un utente Mac, ma a quanto ho capito, Apple non consente agli utenti di rimuovere i certificati di root, anche quando utilizzano i privilegi di root. I certificati non root possono essere rimossi utilizzando Accesso Portachiavi.

androide (5.1 Lollipop, ma simile su tutte le versioni)

1. Vai su Impostazioni -> Sicurezza -> Credenziali affidabili -> Scheda di sistema. Tocca il segno di spunta verde accanto al certificato che non ti piace

2. Scorri verso il basso i dettagli del certificato fino in fondo e seleziona "Disabilita"Certs root Android 1

iOSCerts root Android 2

I certificati di root non possono essere rimossi in iOS (i certificati personali possono essere rimossi utilizzando l'utilità di configurazione iPhone).

Ubuntu (sarà simile per la maggior parte delle versioni di Linux)

Il modo più semplice per deselezionare le CA è aprire Terminal ed eseguire:

sudo dpkg-reconfigure certificati ca

Premi lo spazio per deselezionare un certificato.Ubuntu root certs 3

L'elenco delle CA è memorizzato nel file /etc/ca-certificates.conf. Questo può essere modificato manualmente inserendo:

nano /etc/ca-certificates.conf

Se si modifica questo file manualmente, è necessario eseguire il comando seguente per aggiornare i certificati effettivi in ​​/ etc / ssl / certs /:Ubuntu root certs 4

sudo update-ca-certificati

(Se si utilizza dpkg-reconfigure, questo viene fatto automaticamente).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me