En guide til rodcertifikater

Der har været en del kontroverser for sent om en nylig opdatering, der roligt tilføjede 17 nye rodcertifikater til Windows (og fjernet 1) uden at advare brugerne om det faktum, hvilket førte til, at nogle kalder hele systemet 'ødelagt'.

Vi syntes derfor det var et godt tidspunkt at forklare, hvad rodcertifikater er, og om læsere skulle være bekymrede ...

Hvad er et rodcertifikat?

Når du besøger et websted, hvordan ved du, at det er det websted, du tror, ​​du besøger? Internets svar på dette problem er SSL-certifikater (også kendt som HTTPS-certifikater).

Når du besøger et SSL-sikret websted (https: //), ud over at forbindelsen er sikret ved hjælp af SSL / TSL-kryptering, vil webstedet præsentere din browser med et SSL-certifikat, der viser, at det (eller mere præcist ejerskab af webstedets offentlige nøgle ) er blevet godkendt af en anerkendt Certificate Authority (CA). Der findes omkring 1200 sådanne CA'er.

Hvis en browser præsenteres for et gyldigt certifikat, antager den, at et websted er ægte, indleder en sikker forbindelse og viser en låst hængelås i sin URL-bjælke for at advare brugere om, at den betragter webstedet som ægte og sikker.

bestvpn https

Dette system, som er hjørnestenen i sikkerhed på internettet, og bruges næsten ethvert sikkert websted, der håndterer følsomme oplysninger (inklusive banker, webmail-tjenester, betalingsprocessorer og så videre) er derfor afhængige af tillid til CA'erne.

Certifikatmyndigheder udsteder certifikater baseret på en tillidskæde, der udsteder flere certifikater i form af en trestruktur til mindre autoritative CA'er. En rodcertifikatmyndighed er derfor det tillidsanker, som tillid til alle mindre autoritative CA'er bygger på. Et rodcertifikat bruges til at godkende en rodcertifikatautoritet.

Så hvem udsteder rodcertifikaterne?rodcert

Generelt distribueres rodcertifikater af OS-udviklere som Microsoft og Apple. De fleste apps og browsere fra tredjepart (såsom Chrome) bruger systemets rodcertifikater, men nogle udviklere bruger deres egne, især Mozilla (Firefox), Adobe, Opera og Oracle, som bruges af deres produkter.

Problemer med CA-systemet

Hele CA-systemet er derfor afhængig af tillid, så hvordan ved du, at disse certifikater kan stole på? I slutningen af ​​dagen er du nødt til at stole på nogen, og hvis du stoler på udviklerne af den software, du bruger, så er du slags nødt til at stole på deres certs.

I det mindste er det teorien. Som en nylig Google-advarsel over falske SSL-certifikater viser, kan kun en 'slyngelige' CA, der udsteder upålidelige certifikater, forårsage ødelæggelse, og desværre kan certifikatmyndigheder (og har været kendt for at) udstede falske certifikater. Den sædvanlige skyldige for dette er samvittighedsfulde regeringer, der lægger pres på CA-virksomheder, men kriminelle kan også CA's med stor arm, og hackere kan gå på kompromis med deres systemer.

Electronic Frontier Foundation (EFF) startede et SSL Observatory-projekt med det formål at undersøge alle certifikater, der blev brugt til at sikre internettet, og opfordrede offentligheden til at sende det certifikater til analyse. Så vidt vi ved, kom dette projekt imidlertid aldrig rigtig godt ud og har ligget i dvale i årevis.

Så hvorfor alt opstyret omkring Microsoft 'snedigt' tilføje rodcertifikater?

Nogle kommentatorer har fået en smule over, at Microsoft tilføjer nye rodcertifikater uden at advare brugere eller bede om deres tilladelse. Vi må dog bemærke, at langt de fleste brugere (inklusive os) ikke har nogen pålidelig måde at afgøre, om en given rodcertifikatmyndighed er pålidelig eller ej, hvilket gør hele denne tvist temmelig meningsløs efter vores opfattelse ...

Hvis du ikke har tillid til Microsoft, skal du ikke bruge Windows. Selvfølgelig, hvis du er seriøs omkring sikkerhed, skal du virkelig ikke stole på Microsoft alligevel, og det er meget sandsynligt, at nogle af rodcertifikaterne, der allerede er leveret med Windows, tillader NSA at udføre MitM-angreb på din computer, hvis de så vælger det. Disse kan i teorien henvise dig til falske websteder, der ser ægte ud for din browser takket være falske SSL-certifikater.

Dem, der er seriøse med sikkerhed, bør bruge Linux (og helst en hærdet distro på det). Det skal også understreges, at intet mobilt operativsystem kan overvejes i det mindste bit sikkert.

For hvad det er værd, ser listen over nye certifikatautoriteter, der for nylig blev tilføjet til Microsoft Certificate Trust List, temmelig ufarlig for os (mange er simpelthen opgraderinger til ældre certifikater), men hvem ved?

Sådan fjernes et rodcertifikat

Hvis du virkelig ikke kan lide en bestemt rodcertifikatautoritet, kan du fjerne dens rodcertifikat. Vær advaret om, at det gør alle certifikater, der er udstedt af den certifikatudstedende myndighed, ikke tillid, såvel som alle de i nogen af ​​de 'mindre' CA'er, den har godkendt. Fjernelse af disse kan have en meget negativ indflydelse på din internetoplevelse.

I kølvandet på det nylige fiasco fra Google med falske certifikater, anbefaler nogle at fjerne kinesiske CA'er. Vi understreger dog, at det helt på din egen risiko gør.

vinduer

Vi bruger Windows 8.1, men processen skal være stort set den samme på alle Windows-versioner.

1. Højreklik på Internet Explorer-ikonet -> Kør som administrator

2. Gå til Værktøjer (gearikon øverst til højre) -> internet muligheder -> Fanen Indhold -> certifikater -> Pålidelige rodcertificeringsmyndigheder

3. Vælg det certifikat, du vil fjerne, og tryk på 'Fjern'. Bemærk, at det sandsynligvis er en meget god idé at 'eksportere' et certifikat til sikkerhedskopi først, så du kan 'Gendanne' det igen senere, hvis nødvendigt.IE rodcerts

Firefox (kun desktopversioner)

1. Åbn Firefox og gå til Åbn menu -> Muligheder -> Fremskreden -> certifikater -> Se certifikater

2. I vinduet Certificates Manager skal du klikke på fanen 'Autoriteter', og du vil se listen over autoriserede root-CA'er sammen med certifikatet / certifikaterne, de har godkendt under dem.

3. Klik på et certifikat, du ikke kan lide, og tryk på 'Slet eller mistillid'Firefox rodcerts 1

Hit OK, hvis du er sikkerFirefox rodcerts 2

For at fjerne en given root-CA fuldstændigt, skal du 'Slet eller mistillid' alle certifikater, den har godkendt. Som med at fjerne Windows-rodcertifikater, anbefaler vi kraftigt at tage sikkerhedskopi af fjernede certifikater først.

Mac OSX

Jeg er ikke Mac-bruger, men som jeg forstår det tillader Apple ikke brugere at fjerne rodcertifikater, selv når de bruger root-privilegier. Ikke-rodcertifikater kan fjernes ved hjælp af nøgleringstilgang.

Android (5.1 Lollipop, men lignende på alle versioner)

1. Gå til Indstillinger -> Sikkerhed -> Pålidelige legitimationsoplysninger -> Fanen System. Tryk på det grønne kryds ved siden af ​​det certifikat, du ikke kan lide

2. Rul ned gennem certifikatdetaljer til bunden, og vælg 'Deaktiver'Android rodcerts 1

iOSAndroid rodcerts 2

Rodcertifikater kan ikke fjernes i iOS (personlige certifikater kan fjernes ved hjælp af iPhone Configuration Utility).

Ubuntu (vil være ens for de fleste versioner af Linux)

Den enkleste måde at fravælge CA'er er at åbne Terminal og køre:

sudo dpkg-rekonfigurer ca-certifikater

Tryk på mellemrum for at fravælge et certifikat.Ubuntu rodcerts 3

Listen over CA'er gemmes i filen /etc/ca-certificates.conf. Dette kan redigeres manuelt ved at indtaste:

nano /etc/ca-certificates.conf

Hvis du redigerer denne fil manuelt, skal du køre følgende kommando for at opdatere de faktiske certifikater i / etc / ssl / certs /:Ubuntu rodcerts 4

sudo-opdatering-ca-certifikater

(Hvis du bruger dpkg-rekonfigurering sker dette automatisk).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me