En guide til rotsertifikater

Det har vært en del kontroverser for sent om en nylig oppdatering som rolig la 17 nye rotsertifikater til Windows (og fjernet 1) uten å varsle brukere om det faktum, noe som førte til at noen kalte hele systemet "ødelagt".

Vi syntes derfor det var et godt tidspunkt å forklare hva rotsertifikater er, og om leserne bør være bekymret ...

Hva er et rotsertifikat?

Når du besøker et nettsted, hvordan vet du at det er nettstedet du tror du besøker? Internettets svar på dette problemet er SSL-sertifikater (også kjent som HTTPS-sertifikater).

Når du besøker et SSL-sikret nettsted (https: //), i tillegg til at forbindelsen er sikret ved hjelp av SSL / TSL-kryptering, vil nettstedet presentere nettleseren din med et SSL-sertifikat som viser at den (eller mer nøyaktig eierskap til nettstedets offentlige nøkkel ) er godkjent av en anerkjent Certificate Authority (CA). Det finnes rundt 1200 slike CAer.

Hvis en nettleser får et gyldig sertifikat, vil den anta at et nettsted er ekte, sette i gang en sikker tilkobling og vise en låst hengelås i URL-linjen for å varsle brukere om at den anser nettstedet som ekte og sikkert.

bestvpn https

Dette systemet, som er hjørnesteinen i sikkerhet på internett, og brukes omtrent alle sikre nettsteder som håndterer sensitiv informasjon (inkludert banker, nettposttjenester, betalingsprosessorer og så videre), er derfor avhengige av å stole på CAs.

Sertifikatmyndighetene utsteder sertifikater basert på en tillitskjede, som utsteder flere sertifikater i form av en trestruktur til mindre autoritative CAer. En rotsertifikatmyndighet er derfor det tillitsanker som tilliten til alle mindre autoritative CA er basert på. Et rotsertifikat brukes til å autentisere en rotsertifikatmyndighet.

Så hvem utsteder rotsertifikatene?rot cert

Generelt distribueres rotsertifikater av OS-utviklere som Microsoft og Apple. De fleste tredjepartsapper og nettlesere (for eksempel Chrome) bruker systemets rotsertifikater, men noen utviklere bruker sine egne, spesielt Mozilla (Firefox), Adobe, Opera og Oracle, som brukes av produktene deres.

Problemer med CA-systemet

Hele CA-systemet er derfor avhengig av tillit, så hvordan vet du at disse sertifikatene kan stole på? Vel, på slutten av dagen må du stole på noen, og hvis du stoler på utviklerne av programvaren du bruker, må du liksom stole på sertifikatene deres.

I det minste er det teorien. Som en nylig Google-advarsel over falske SSL-sertifikater viser, kan bare en 'useriøs' CA som utsteder upålitelige sertifikater føre til ødeleggelser, og dessverre kan sertifikatmyndighetene (og har vært kjent for) utstede falske sertifikater. Den vanlige skyldige for dette er skruppelløse regjeringer som legger press på CA-selskaper, men kriminelle kan også få CA-er med stor arm, og hackere kan gå på akkord med deres systemer.

Electronic Frontier Foundation (EFF) startet et SSL Observatory-prosjekt med det formål å undersøke alle sertifikater som ble brukt for å sikre internett, og inviterte publikum til å sende det sertifikater for analyse. Så langt vi vet, har dette prosjektet imidlertid aldri kommet av stabelen og har ligget i dvale i årevis.

Så hvorfor alt oppstyret om at Microsoft ‘snekret’ legger til rotsertifikater?

Noen kommentatorer har tusset over at Microsoft legger til nye rotsertifikater uten å varsle brukere eller spørre om deres tillatelse. Vi må imidlertid merke oss at de aller fleste brukere (inkludert oss) ikke har noen pålitelig måte å avgjøre om en gitt rotsertifikatmyndighet er pålitelig eller ikke, noe som gjør hele tvisten ganske meningsløs etter vårt syn ...

Hvis du ikke stoler på Microsoft, ikke bruk Windows. Hvis du er seriøs når det gjelder sikkerhet, bør du selvfølgelig ikke stole på Microsoft likevel, og det er veldig sannsynlig at noen av rotsertifikatene som allerede er levert med Windows, lar NSA utføre MitM-angrep på datamaskinen din hvis de skulle velge det. Disse kan i teorien henvise deg til falske nettsteder som ser ekte ut for nettleseren din takket være falske SSL-sertifikater.

De som er seriøse med sikkerhet, bør bruke Linux (og helst en herdet distro på det). Det skal også understrekes at intet mobilt operativsystem kan vurderes i det minste sikker.

For hva det er verdt, ser listen over nye sertifikatmyndigheter nylig lagt til Microsoft Certificate Trust List ganske ufarlig for oss (mange er ganske enkelt oppgraderinger til eldre sertifikater), men hvem vet?

Slik fjerner du et rotsertifikat

Hvis du virkelig ikke liker en bestemt rotsertifikatmyndighet, kan du fjerne rotsertifikatet. Vær advart om at dette gjør at alle sertifikater som er utstedt av det sertifikatutvalget ikke er tillit til, samt alle sertifikatene fra noen av de 'mindre' CA'ene den har godkjent. Å fjerne disse kan ha veldig negativ innvirkning på internettopplevelsen din.

I kjølvannet av den nylige fiaskoen med falske sertifikater fra Google, anbefaler noen at de fjerner kinesiske myndigheter. Vi understreker imidlertid at å gjøre det helt på egen risiko.

Windows

Vi bruker Windows 8.1, men prosessen skal være ganske den samme på alle versjoner av Windows.

1. Høyreklikk på Internet Explorer-ikonet -> Kjør som administrator

2. Gå til Verktøy (tannhjulikon øverst til høyre) -> Internett instillinger -> Innhold-fanen -> sertifikater -> Pålitelige rotsertifiseringsmyndigheter

3. Velg sertifikatet du vil fjerne, og trykk på 'Fjern'. Legg merke til at det sannsynligvis er en veldig god idé å "eksportere" et sertifikat for sikkerhetskopi først, slik at du kan "Gjenopprette" det igjen senere hvis det er nødvendig.IE-rotsertifikater

Firefox (bare skrivebordsversjoner)

1. Åpne Firefox og gå til Åpne meny -> alternativer -> Avansert -> sertifikater -> Vis sertifikater

2. I sertifikatbehandler-vinduet klikker du på fanen ‘Autoriteter’, så ser du listen over autoriserte root-CAer, sammen med sertifikatet (e) de har autorisert under dem.

3. Klikk på et sertifikat du ikke liker, og trykk på 'Slett eller mistillit'Firefox root certs 1

Trykk OK hvis du er sikkerFirefox root certs 2

For å fjerne en gitt root-CA fullstendig, må du "Slette eller mistillit" alle sertifikater den har autorisert. Som med å fjerne Windows-rotsertifikater, anbefaler vi sterkt å sikkerhetskopiere fjernede sertifikater først.

Mac OSX

Jeg er ikke Mac-bruker, men slik jeg forstår det, tillater ikke Apple brukere å fjerne rotsertifikater, selv ikke når jeg bruker root-rettigheter. Ikke-rotsertifikater kan fjernes ved hjelp av Keychain Access.

Android (5.1 Lollipop, men lik på alle versjoner)

1. Gå til Innstillinger -> Sikkerhet -> Pålitelig legitimasjon -> Systemfane. Trykk på den grønne haken ved siden av sertifikatet du ikke liker

2. Bla nedover gjennom sertifikatdetaljer til bunnen, og velg 'Deaktiver'Android-rotsertifikater 1

iOSAndroid root certs 2

Rotsertifikater kan ikke fjernes i iOS (personlige sertifikater kan fjernes ved hjelp av iPhone Configuration Utility).

Ubuntu (vil være lik for de fleste versjoner av Linux)

Den enkleste måten å fjerne markering av CA-er er å åpne Terminal og løpe:

sudo dpkg-rekonfigurere ca-sertifikater

Trykk på mellomrom for å fjerne markeringen av et sertifikat.Ubuntu root certs 3

Listen over CAer er lagret i filen /etc/ca-certificates.conf. Dette kan redigeres manuelt ved å legge inn:

nano /etc/ca-certificates.conf

Hvis du redigerer denne filen manuelt, må du kjøre følgende kommando for å oppdatere de faktiske sertifikatene i / etc / ssl / certs /:Ubuntu root certs 4

sudo update-ca-sertifikater

(Hvis du bruker dpkg-rekonfigurering, gjøres dette automatisk).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me