Przewodnik po certyfikatach głównych

Ostatnio pojawiły się kontrowersje dotyczące ostatniej aktualizacji, która po cichu dodała 17 nowych certyfikatów głównych do systemu Windows (i usunęła 1) bez powiadamiania użytkowników o tym, co spowodowało, że niektórzy nazwali cały system „zepsutym”.

Uznaliśmy zatem, że to dobry moment na wyjaśnienie, czym są certyfikaty root i czy czytelnicy powinni się martwić…

Co to jest certyfikat główny?

Kiedy odwiedzasz witrynę, skąd wiesz, że jest to witryna, którą odwiedzasz? Internetową odpowiedzią na ten problem są certyfikaty SSL (znane również jako certyfikaty HTTPS).

Gdy odwiedzasz witrynę zabezpieczoną za pomocą protokołu SSL (https: //), oprócz połączenia zabezpieczonego za pomocą szyfrowania SSL / TSL, witryna przedstawia przeglądarce przeglądarkę z certyfikatem SSL, który wskazuje, że to ona (lub dokładniej własność klucza publicznego witryny ) został uwierzytelniony przez uznany urząd certyfikacji (CA). Istnieje około 1200 takich urzędów certyfikacji.

Jeśli przeglądarka zostanie przedstawiona z ważnym certyfikatem, to zakłada, że ​​witryna jest oryginalna, nawiązuje bezpieczne połączenie i wyświetla zablokowaną kłódkę na pasku adresu URL, aby ostrzec użytkowników, że uważa witrynę za bezpieczną i bezpieczną.

bestvpn https

Ten system, który jest kamieniem węgielnym bezpieczeństwa w Internecie, jest używany niemal w każdej bezpiecznej witrynie internetowej, która obsługuje poufne informacje (w tym banki, usługi poczty internetowej, procesory płatności itp.), Dlatego polega na zaufaniu urzędom certyfikacji..

Urzędy certyfikacji wystawiają certyfikaty w oparciu o łańcuch zaufania, wydając wiele certyfikatów w formie struktury drzewiastej mniej wiarygodnym urzędom certyfikacji. Główny urząd certyfikacji jest zatem kotwicą zaufania, na której opiera się zaufanie do wszystkich mniej wiarygodnych autorytetów. Certyfikat główny służy do uwierzytelnienia głównego urzędu certyfikacji.

Więc kto wydaje certyfikaty główne?root cert

Mówiąc ogólnie, certyfikaty root są dystrybuowane przez programistów systemów operacyjnych, takich jak Microsoft i Apple. Większość aplikacji i przeglądarek innych firm (takich jak Chrome) korzysta z certyfikatów głównych systemu, ale niektórzy programiści używają własnych, zwłaszcza Mozilla (Firefox), Adobe, Opera i Oracle, z których korzystają ich produkty.

Problemy z systemem CA

Cały system CA polega zatem na zaufaniu, więc skąd wiesz, że można ufać tym certyfikatom? Cóż, pod koniec dnia musisz komuś zaufać, a jeśli ufasz twórcom oprogramowania, którego używasz, to musisz zaufać jego certyfikatom.

Przynajmniej taka jest teoria. Jak pokazuje niedawne ostrzeżenie Google dotyczące fałszywych certyfikatów SSL, tylko jeden „nieuczciwy” urząd certyfikacji wystawiający niewiarygodne certyfikaty może spowodować spustoszenie, a niestety organy certyfikacji mogą (i były znane) wydawać fałszywe certyfikaty. Zwykłym winowajcą tego są pozbawione skrupułów rządy wywierające presję na firmy CA, ale przestępcy mogą również silnie uzbroić CA, a hakerzy mogą naruszyć ich systemy.

Electronic Frontier Foundation (EFF) rozpoczął projekt Obserwatorium SSL w celu zbadania wszystkich certyfikatów używanych do zabezpieczenia Internetu, zapraszając społeczeństwo do przesłania go do analizy. O ile nam wiadomo, ten projekt nigdy tak naprawdę się nie rozpoczął i od lat jest uśpiony.

Więc dlaczego całe zamieszanie związane z Microsoftem „podstępnie” dodaje certyfikaty root?

Niektórzy komentatorzy wpadli w szał na punkcie dodawania przez Microsoft nowych certyfikatów głównych bez powiadamiania użytkowników lub pytania o zgodę. Musimy jednak zauważyć, że zdecydowana większość użytkowników (w tym my) nie ma wiarygodnego sposobu na ustalenie, czy dany główny urząd certyfikacji jest godny zaufania, czy nie, co sprawia, że ​​cały ten spór jest raczej bezcelowy…

Jeśli nie ufasz firmie Microsoft, nie używaj systemu Windows. Oczywiście, jeśli poważnie myślisz o bezpieczeństwie, to tak naprawdę nie powinieneś ufać Microsoftowi, i jest bardzo prawdopodobne, że niektóre certyfikaty główne już dostarczone z Windows pozwalają NSA na przeprowadzanie ataków MitM na twój komputer, jeśli tak wybiorą. Teoretycznie mogą one przekierować Cię do fałszywych stron internetowych, które wyglądają autentycznie w przeglądarce dzięki fałszywym certyfikatom SSL.

Ci, którzy poważnie podchodzą do bezpieczeństwa, powinni używać Linuksa (a najlepiej hartowanej dystrybucji). Należy również podkreślić, że żaden mobilny system operacyjny nie może być uważany w najmniejszym stopniu za bezpieczny.

Co do wartości, lista nowych urzędów certyfikacji dodanych ostatnio do listy zaufania certyfikatów Microsoft wygląda dla nas całkiem nieszkodliwie (wiele z nich to po prostu uaktualnienia do starszych certyfikatów), ale kto wie?

Jak usunąć certyfikat główny

Jeśli naprawdę nie lubisz określonego głównego urzędu certyfikacji, możesz usunąć jego główny certyfikat. Ostrzegamy, że takie postępowanie powoduje, że wszystkie certyfikaty wydawane przez ten urząd certyfikacji są niezaufane, a także wszystkie certyfikaty „mniejszych” urzędów certyfikacji, na które zezwolono. Ich usunięcie może mieć bardzo negatywny wpływ na korzystanie z Internetu.

Po fiasku ostatnich fałszywych certyfikatów Google niektóre osoby zalecają usunięcie chińskich urzędów certyfikacji. Podkreślamy jednak, że czyni to wyłącznie na własne ryzyko.

Windows

Korzystamy z systemu Windows 8.1, ale proces powinien być prawie taki sam we wszystkich wersjach systemu Windows.

1. Kliknij prawym przyciskiem myszy ikonę Internet Explorer -> Uruchom jako administrator

2. Przejdź do Narzędzia (ikona koła zębatego w prawym górnym rogu) -> opcje internetowe -> Karta treści -> Certyfikaty -> Zaufane główne urzędy certyfikacji

3. Wybierz certyfikat, który chcesz usunąć, i kliknij „Usuń”. Pamiętaj, że prawdopodobnie dobrym pomysłem jest najpierw „Eksportowanie” certyfikatu do tworzenia kopii zapasowych, aby w razie potrzeby móc go „przywrócić” później.Certyfikaty root IE

Firefox (tylko wersje stacjonarne)

1. Otwórz Firefox i przejdź do Otwórz menu -> Opcje -> zaawansowane -> Certyfikaty -> Zobacz certyfikaty

2. W oknie Menedżera certyfikatów kliknij kartę „Urzędy”, a poniżej zobaczysz listę autoryzowanych głównych urzędów certyfikacji wraz z certyfikatami, które autoryzowały

3. Kliknij certyfikat, którego nie lubisz, i kliknij „Usuń lub nie ufaj”Certyfikaty root Firefox 1

Kliknij OK, jeśli masz pewnośćCertyfikaty root Firefox 2

Aby całkowicie usunąć dany główny urząd certyfikacji, musisz „usunąć lub nie ufać” wszystkim certyfikatom, na które zezwolił. Podobnie jak w przypadku usuwania certyfikatów głównych systemu Windows, zdecydowanie zalecamy wykonanie kopii zapasowej usuniętych certyfikatów.

Mac OS X

Nie jestem użytkownikiem komputera Mac, ale jak rozumiem, Apple nie zezwala użytkownikom na usuwanie certyfikatów głównych, nawet podczas korzystania z uprawnień administratora. Certyfikaty użytkownika innego niż root można usunąć za pomocą Keychain Access.

Android (5.1 Lollipop, ale podobny we wszystkich wersjach)

1. Przejdź do Ustawień -> Bezpieczeństwo -> Zaufane poświadczenia -> Karta systemowa. Kliknij zielony znaczek obok certyfikatu, którego nie lubisz

2. Przewiń w dół szczegóły certyfikatu na dół i wybierz „Wyłącz”Certyfikaty root systemu Android 1

iOSCertyfikaty root systemu Android 2

Certyfikatów głównych nie można usunąć w systemie iOS (certyfikaty osobiste można usunąć za pomocą narzędzia iPhone Configuration Utility).

Ubuntu (będzie podobny dla większości wersji Linuksa)

Najprostszym sposobem na odznaczenie CA jest otwarcie Terminalu i uruchomienie:

sudo dpkg-rekonfiguruj certyfikaty ca

Naciśnij spację, aby odznaczyć certyfikat.Certyfikaty root Ubuntu 3

Lista urzędów certyfikacji jest przechowywana w pliku /etc/ca-certificates.conf. Można to edytować ręcznie, wprowadzając:

nano /etc/ca-certificates.conf

Jeśli edytujesz ten plik ręcznie, musisz uruchomić następujące polecenie, aby zaktualizować aktualne certyfikaty w / etc / ssl / certs /:Certyfikaty root Ubuntu 4

sudo update-ca-certyfikaty

(Jeśli użyjesz dpkg-rekonfiguruj, dzieje się to automatycznie).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me