ルート証明書のガイド

最近の更新で、17の新しいルート証明書をWindowsに静かに追加し(1は削除)、事実をユーザーに警告せずに、システム全体を「壊れた」と呼ぶ人がいるという議論がありました.

したがって、ルート証明書とは何か、読者が心配する必要があるかどうかを説明するのに良い時期だと思いました…

ルート証明書とは?

あなたがウェブサイトにアクセスするとき、あなたがそれがあなたが訪問していると思うウェブサイトであることをどのように知っていますか?この問題に対するインターネットの答えは、SSL証明書(HTTPS証明書とも呼ばれます)です。.

SSLで保護されたWebサイト(https://)にアクセスすると、SSL / TSL暗号化を使用して保護された接続に加えて、Webサイトはそれを示すSSL証明書(またはより正確にはWebサイトの公開キーの所有権)をブラウザに提示します)認定された認証局(CA)によって認証されています。約1200のそのようなCAが存在します.

ブラウザーに有効な証明書が提示されると、Webサイトが本物であると見なされ、安全な接続を開始し、URLバーにロックされた南京錠を表示して、Webサイトが本物で安全であるとユーザーに警告します.

bestvpn https

このシステムは、インターネット上のセキュリティの基盤であり、機密情報(銀行、ウェブメールサービス、支払い処理者などを含む)を処理するほぼすべての安全なWebサイトで使用されるため、CAの信頼に依存しています。.

認証局は、信頼の連鎖に基づいて証明書を発行し、権限の低いCAに対してツリー構造の形式で複数の証明書を発行します。したがって、ルート認証局は、信頼性の低いすべてのCAの信頼の基礎となる信頼アンカーです。ルート証明書は、ルート認証局の認証に使用されます.

だから誰がルート証明書を発行する?ルート証明書

一般的に、ルート証明書は、MicrosoftやAppleなどのOS開発者によって配布されます。ほとんどのサードパーティのアプリとブラウザ(Chromeなど)はシステムのルート証明書を使用しますが、一部の開発者は自社製品、特に製品で使用されるMozilla(Firefox)、Adobe、Opera、Oracleを使用します.

CAシステムの問題

したがって、CAシステム全体が信頼に依存しているので、これらの証明書が信頼できることをどのようにして知ることができますか?結局、誰かを信頼する必要があり、使用するソフトウェアの開発者を信頼する場合は、その証明書を信頼する必要があります.

少なくともそれは理論です。偽のSSL証明書に関する最近のGoogleの警告が示すように、信頼できない証明書を発行する「不正な」CAは1つだけ大混乱を引き起こし、残念ながら認証局は偽の証明書を発行できます(そして知られています)。これの通常の犯人は、CA企業に圧力をかける不putting慎な政府ですが、犯罪者はCAを強力に武装することもでき、ハッカーはシステムを侵害することができます.

Electronic Frontier Foundation(EFF)は、インターネットを保護するために使用されるすべての証明書を調査する目的でSSL天文台プロジェクトを開始しました。ただし、私たちが知っている限り、このプロジェクトは実際に着手することはなく、何年も休眠しています.

なぜマイクロソフトがルート証明書を「こっそり」追​​加するのかという騒ぎ?

一部のコメンテーターは、ユーザーに警告したり許可を求めたりすることなく、Microsoftに新しいルート証明書を追加することをめちゃくちゃにしています。ただし、特定のルート認証局が信頼できるかどうかを判断するための信頼できる方法は、大部分のユーザー(私たちを含む)にはないため、この論争全体はかなり無意味であることに注意する必要があります。

マイクロソフトを信頼していない場合は、Windowsを使用しないでください。もちろん、セキュリティに真剣に取り組んでいるなら、とにかくマイクロソフトを信頼するべきではありません。Windowsに同梱されているルート証明書の一部は、選択した場合にNSAがコンピューターでMitM攻撃を実行できる可能性が非常に高いです。理論的には、偽のSSL証明書のおかげで、ブラウザに対して本物に見える偽のWebサイトに誘導される可能性があります。.

セキュリティを真剣に考えている人はLinuxを使用する必要があります(できれば強化されたディストリビューション)。また、モバイルOSを少しでも安全とみなすことができないことも強調する必要があります。.

価値があることについては、Microsoft証明書信頼リストに最近追加された新しい認証局のリストは、私たちにはほとんど無害に見えます(多くは単に古い証明書へのアップグレードです)。?

ルート証明書を削除する方法

特定のルート認証局が本当に気に入らない場合は、そのルート証明書を削除できます。そのようにすると、その認証局によって発行されたすべての証明書と、認証された「より低い」CAのすべての証明書が信頼されなくなることに注意してください。これらを削除すると、インターネットエクスペリエンスに非常に悪影響を及ぼす可能性があります.

最近のGoogle偽証明書の大失敗をきっかけに、一部の人々は中国のCAの削除を推奨しています。ただし、そうすることは完全にあなた自身のリスクであると強調しています.

ウィンドウズ

Windows 8.1を使用していますが、プロセスはWindowsのすべてのバージョンでほぼ同じである必要があります.

1. Internet Explorerアイコンを右クリックします -> 管理者として実行

2.ツールに移動します(右上の歯車アイコン) -> インターネット設定 -> コンテンツタブ -> 証明書 -> 信頼されたルート証明機関

3.削除する証明書を選択し、「削除」をクリックします。必要に応じて後で再度「復元」できるように、最初にバックアップ用の証明書を「エクスポート」することをお勧めします。.IEルート証明書

Firefox (デスクトップバージョンのみ)

1. Firefoxを開き、[開く]メニューに移動します -> オプション -> 高度な -> 証明書 -> 証明書を見る

2. [Certificates Manager]ウィンドウで[Authorities]タブをクリックすると、承認されたルートCAのリストと、その下で承認された証明書が表示されます。

3.気に入らない証明書をクリックして、「削除または不信」を押しますFirefoxルート証明書1

確信があればOKを押してくださいFirefoxルート証明書2

特定のルートCAを完全に削除するには、承認したすべての証明書を「削除または不信」にする必要があります。 Windowsルート証明書を削除する場合と同様に、削除した証明書を最初にバックアップすることを強くお勧めします.

Mac OSX

私はMacユーザーではありませんが、Appleがroot権限を使用している場合でも、ユーザーがルート証明書を削除することを許可していません。非ルート証明書はキーチェーンアクセスを使用して削除できます.

アンドロイド (5.1 Lollipop、ただしすべてのバージョンで類似)

1.設定に移動します -> セキュリティ -> 信頼できる資格情報 -> [システム]タブ。気に入らない証明書の横にある緑色のチェックマークをタップします

2.証明書の詳細を一番下までスクロールし、「無効」を選択しますAndroidルート証明書1

iOSAndroidルート証明書2

iOSではルート証明書を削除できません(iPhone構成ユーティリティを使用して個人証明書を削除できます).

Ubuntu (Linuxのほとんどのバージョンで同様になります)

CAの選択を解除する最も簡単な方法は、ターミナルを開いて実行することです:

sudo dpkg-reconfigure ca-certificates

スペースを押して証明書の選択を解除します.Ubuntuルート証明書3

CAのリストは、/ etc / ca-certificates.confファイルに保存されます。これは、次のように入力して手動で編集できます。

nano /etc/ca-certificates.conf

このファイルを手動で編集する場合は、次のコマンドを実行して/ etc / ssl / certs /の実際の証明書を更新する必要があります。Ubuntuルート証明書4

sudo update-ca-certificates

(dpkg-reconfigureを使用する場合、これは自動的に行われます).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me