Ένας οδηγός για τα πιστοποιητικά ρίζας

Υπήρξε κάποια αμφιβολία για την καθυστέρηση σε μια πρόσφατη ενημερωμένη έκδοση που προσθέτει ήσυχα 17 νέα πιστοποιητικά ρίζας στα Windows (και αφαιρείται 1) χωρίς να ειδοποιεί τους χρήστες για το γεγονός, οδηγώντας ορισμένους να καλέσουν ολόκληρο το σύστημα 'σπασμένα'.


Συνεπώς, θεωρήσαμε ότι είναι μια καλή στιγμή να εξηγήσουμε ποια είναι τα πιστοποιητικά ρίζας και αν οι αναγνώστες πρέπει να ανησυχούν ...

Τι είναι ένα πιστοποιητικό ρίζας?

Όταν επισκέπτεστε έναν ιστότοπο, πώς γνωρίζετε ότι είναι ο ιστότοπος που πιστεύετε ότι επισκέπτεστε; Η απάντηση του διαδικτύου σε αυτό το πρόβλημα είναι πιστοποιητικά SSL (επίσης γνωστά ως πιστοποιητικά HTTPS).

Όταν επισκέπτεστε έναν ιστότοπο με ασφάλεια SSL (https: //), εκτός από τη διασφάλιση της σύνδεσης με κρυπτογράφηση SSL / TSL, ο ιστότοπος θα παρουσιάσει στο πρόγραμμα περιήγησής σας πιστοποιητικό SSL που θα δείχνει ότι (ή ακριβέστερα ιδιοκτησία του δημόσιου κλειδιού του ιστότοπου ) έχει πιστοποιηθεί από αναγνωρισμένη Αρχή Πιστοποίησης (CA). Υπάρχουν περίπου 1200 τέτοιες ΑΠ.

Εάν ένα πρόγραμμα περιήγησης παρουσιάζεται με έγκυρο πιστοποιητικό, τότε θα υποθέσει ότι ένας ιστότοπος είναι γνήσιος, θα ξεκινήσει μια ασφαλή σύνδεση και θα εμφανίσει ένα κλειδωμένο λουκέτο στη γραμμή URL του, για να ειδοποιήσει τους χρήστες ότι θεωρεί ότι ο ιστότοπος είναι γνήσιος και ασφαλής.

bestvpn https

Αυτό το σύστημα, το οποίο αποτελεί τον ακρογωνιαίο λίθο της ασφάλειας στο διαδίκτυο και χρησιμοποιείται σχεδόν αποκλειστικά για κάθε ασφαλή ιστότοπο που χειρίζεται ευαίσθητες πληροφορίες (συμπεριλαμβανομένων των τραπεζών, των υπηρεσιών ηλεκτρονικού ταχυδρομείου, των επεξεργαστών πληρωμών κλπ.), Βασίζεται στην εμπιστοσύνη των ΑΠ.

Οι αρχές έκδοσης πιστοποιητικών εκδίδουν πιστοποιητικά βάσει αλυσίδας εμπιστοσύνης, εκδίδοντας πολλαπλά πιστοποιητικά με τη μορφή διάρθρωσης δέντρων σε λιγότερο έγκυρες ΑΠ. Επομένως, μια αρχή πιστοποίησης πιστοποιητικών αποτελεί την εμπιστοσύνη εμπιστοσύνης στην οποία στηρίζεται η εμπιστοσύνη σε όλες τις λιγότερο έγκυρες ΑΠ. Χρησιμοποιείται ένα πιστοποιητικό ρίζας για τον έλεγχο ταυτότητας μιας αρχής πιστοποιητικών ρίζας.

Έτσι, ποιος εκδίδει τα πιστοποιητικά ρίζας?root cert

Σε γενικές γραμμές, τα πιστοποιητικά ρίζας διανέμονται από προγραμματιστές OS όπως η Microsoft και η Apple. Οι περισσότερες εφαρμογές και προγράμματα περιήγησης τρίτων μερών (όπως το Chrome) χρησιμοποιούν τα πιστοποιητικά ρίζας του συστήματος, αλλά μερικοί προγραμματιστές χρησιμοποιούν το δικό τους, κυρίως Mozilla (Firefox), Adobe, Opera και Oracle, τα οποία χρησιμοποιούνται από τα προϊόντα τους.

Προβλήματα με το σύστημα CA

Επομένως, όλο το σύστημα CA βασίζεται στην εμπιστοσύνη, οπότε πώς γνωρίζετε ότι αυτά τα πιστοποιητικά είναι αξιόπιστα; Λοιπόν, στο τέλος της ημέρας θα πρέπει να εμπιστευτείτε κάποιον και εάν εμπιστεύεστε τους προγραμματιστές του λογισμικού που χρησιμοποιείτε, τότε θα πρέπει να εμπιστευτείτε τις βεβαιότητές τους.

Τουλάχιστον αυτή είναι η θεωρία. Όπως αποδεικνύει μια πρόσφατη προειδοποίηση της Google σχετικά με τα ψεύτικα πιστοποιητικά SSL, μόνο μία «αδίστακτη» ΑΠ που εκδίδει αναξιόπιστα πιστοποιητικά μπορεί να προκαλέσει χάος και, δυστυχώς, οι Αρχές Πιστοποίησης μπορούν (και είναι γνωστό ότι) εκδίδουν ψεύτικα πιστοποιητικά. Ο συνηθισμένος ένοχος για αυτό είναι αδίστακτοι κυβερνήσεις που ασκούν πίεση στις εταιρείες CA, αλλά οι εγκληματίες μπορούν επίσης να ισχυροποιούν CAs, και οι χάκερ μπορούν να θέσουν σε κίνδυνο τα συστήματά τους.

Το Ίδρυμα Electronic Frontier Foundation (EFF) ξεκίνησε ένα έργο Παρατηρητηρίου SSL με σκοπό τη διερεύνηση όλων των πιστοποιητικών που χρησιμοποιούνται για τη διασφάλιση του Διαδικτύου, καλώντας το κοινό να του αποστείλει πιστοποιητικά για ανάλυση. Από όσο γνωρίζουμε, ωστόσο, το έργο αυτό δεν ξεκίνησε ποτέ και έμεινε αδρανές εδώ και χρόνια.

Γιατί λοιπόν όλη η αναστάτωση σχετικά με την Microsoft "sneakily" προσθέτοντας τα πιστοποιητικά ρίζας?

Μερικοί σχολιαστές έχουν έρθει σε ένα tizz πέρα ​​από τη Microsoft προσθέτοντας νέα πιστοποιητικά ρίζας χωρίς προειδοποίηση των χρηστών ή ζητώντας την άδειά τους. Ωστόσο, πρέπει να σημειώσουμε ότι η συντριπτική πλειοψηφία των χρηστών (συμπεριλαμβανομένων των εμάς) δεν έχει αξιόπιστο τρόπο για να διαπιστώσει αν μια δεδομένη αρχή πιστοποίησης πιστοποιητικών είναι αξιόπιστη ή όχι, πράγμα που καθιστά όλη αυτή τη διαμάχη μάλλον άσκοπη κατά την άποψή μας ...

Εάν δεν εμπιστεύεστε τη Microsoft, τότε μην χρησιμοποιείτε τα Windows. Φυσικά, αν είστε σοβαροί για την ασφάλεια τότε δεν πρέπει πραγματικά να εμπιστεύεστε τη Microsoft ούτως ή άλλως και είναι πολύ πιθανό ότι ορισμένα από τα πιστοποιητικά ρίζας που έχουν ήδη αποσταλεί με τα Windows επιτρέπουν στο NSA να εκτελέσει επιθέσεις MitM στον υπολογιστή σας αν το επιλέξουν. Αυτά θα μπορούσαν θεωρητικά να σας κατευθύνουν σε ψεύτικες ιστοσελίδες που φαίνονται γνήσιες στο πρόγραμμα περιήγησής σας χάρη σε ψεύτικα πιστοποιητικά SSL.

Οι σοβαροί για την ασφάλεια θα πρέπει να χρησιμοποιήσουν το Linux (και κατά προτίμηση μια σκληρή διανομή σε αυτό). Θα πρέπει επίσης να τονιστεί ότι κανένα φορητό λειτουργικό σύστημα δεν μπορεί να θεωρηθεί στο ελάχιστο ασφαλές.

Γιατί αξίζει τον κόπο, η λίστα με τις νέες Αρχές Πιστοποίησης που προστέθηκαν πρόσφατα στη Λίστα Αξιοπιστίας Πιστοποιητικών της Microsoft μοιάζει αρκετά αβλαβής για εμάς (πολλοί είναι απλά αναβαθμίσεις σε παλαιότερα πιστοποιητικά), αλλά ποιος ξέρει?

Πώς να καταργήσετε ένα πιστοποιητικό ρίζας

Αν πραγματικά δεν σας αρέσει μια συγκεκριμένη αρχή πιστοποιητικού ρίζας, τότε μπορείτε να καταργήσετε το πιστοποιητικό ρίζας. Να είστε προειδοποιημένοι ότι με αυτόν τον τρόπο όλα τα πιστοποιητικά που εκδίδονται από αυτήν την Αρχή Πιστοποίησης δεν είναι αξιόπιστα, καθώς και όλα τα πιστοποιητικά των κατώτερων ΑΠ που έχει εγκρίνει. Η κατάργησή τους μπορεί να έχει πολύ αρνητικό αντίκτυπο στην εμπειρία σας στο διαδίκτυο.

Μετά από τα πρόσφατα φασάκια πιστοποιητικών Google, μερικοί άνθρωποι συστήνουν την αφαίρεση των Κινέζικων ΑΠ. Τονίζουμε, ωστόσο, ότι το κάνετε αυτό είναι εξ ολοκλήρου με δική σας ευθύνη.

Windows

Χρησιμοποιούμε τα Windows 8.1, αλλά η διαδικασία θα πρέπει να είναι σχεδόν η ίδια σε όλες τις εκδόσεις των Windows.

1. Κάντε δεξιό κλικ στο εικονίδιο του Internet Explorer -> Εκτελέστε ως διαχειριστής

2. Μεταβείτε στην επιλογή Εργαλεία (εικονίδιο με το γρανάζι στο πάνω δεξιά μέρος) -> ΕΠΙΛΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ -> Καρτέλα Περιεχόμενο -> Πιστοποιητικά -> Αξιόπιστες αρχές πιστοποίησης ρίζας

3. Επιλέξτε το πιστοποιητικό που θέλετε να καταργήσετε και πατήστε 'Αφαίρεση'. Σημειώστε ότι είναι πιθανώς μια πολύ καλή ιδέα να εξάγετε πρώτα ένα πιστοποιητικό για backup, ώστε να μπορείτε να το επαναφέρετε ξανά αργότερα, αν χρειαστεί.IE ρίζα certs

Firefox (μόνο για εκδόσεις υπολογιστών)

1. Ανοίξτε τον Firefox και μεταβείτε στο Open Menu -> Επιλογές -> Προχωρημένος -> Πιστοποιητικά -> Προβολή πιστοποιητικών

2. Στο παράθυρο "Διαχείριση πιστοποιητικών", κάντε κλικ στην καρτέλα "Αρχές" και θα δείτε τη λίστα εξουσιοδοτημένων εξουσιοδοτώντων αρχών, μαζί με τα πιστοποιητικά που έχουν εγκρίνει κάτω από αυτά

3. Κάντε κλικ σε ένα πιστοποιητικό που δεν σας αρέσει και πατήστε 'Διαγραφή ή Δυσπιστία'Επικυρώσεις του Firefox 1

Πατήστε OK αν είστε βέβαιοιΑρχιτεκτονικές ρίζας του Firefox 2

Για να καταργήσετε τελείως μια δεδομένη ΑΠΠ ρίζας, θα πρέπει να "Διαγραφή ή Δυσπιστία" όλα τα πιστοποιητικά που έχει εξουσιοδοτήσει. Όπως και στην περίπτωση της κατάργησης των ριζικών πιστοποιητικών των Windows, συνιστούμε πρώτα να δημιουργήσετε αντίγραφα ασφαλείας των πιστοποιητικών που αφαιρέθηκαν.

Mac OSX

Δεν είμαι χρήστης Mac, αλλά όπως το καταλαβαίνω, η Apple δεν επιτρέπει στους χρήστες να αφαιρούν ριζικά πιστοποιητικά, ακόμα και όταν χρησιμοποιούν προνόμια root. Τα μη ριζικά πιστοποιητικά μπορούν να καταργηθούν χρησιμοποιώντας την πρόσβαση στο Keychain.

Android (5.1 Lollipop, αλλά παρόμοια σε όλες τις εκδόσεις)

1. Μεταβείτε στις Ρυθμίσεις -> Ασφάλεια -> Αξιόπιστα διαπιστευτήρια -> Καρτέλα Συστήματος. Αγγίξτε το πράσινο τετραγωνάκι δίπλα στο πιστοποιητικό που δεν σας αρέσει

2. Μετακινηθείτε προς τα κάτω μέσω των λεπτομερειών πιστοποιητικών στο κάτω μέρος και επιλέξτε 'Απενεργοποίηση'Οι ρίζες του Android 1

iOSΑπαντήσεις ρίζας Android 2

Τα πιστοποιητικά ρίζας δεν μπορούν να καταργηθούν στο iOS (τα προσωπικά πιστοποιητικά μπορούν να καταργηθούν χρησιμοποιώντας το Βοηθητικό πρόγραμμα ρύθμισης παραμέτρων iPhone).

Ubuntu (θα είναι παρόμοια για τις περισσότερες εκδόσεις του Linux)

Ο πιο απλός τρόπος για να καταργήσετε την επιλογή του CA είναι να ανοίξετε το Terminal και να εκτελέσετε:

sudo dpkg-αναμορφώστε τα πιστοποιητικά ca

Πατήστε το πλήκτρο διαστήματος για να αποεπιλέξετε ένα πιστοποιητικό.Ubuntu root certs 3

Η λίστα των ΑΠ αποθηκεύεται στο αρχείο /etc/ca-certificates.conf. Αυτό μπορεί να γίνει με μη αυτόματο τρόπο, εισάγοντας:

nano /etc/ca-certificates.conf

Εάν επεξεργαστείτε αυτό το αρχείο με μη αυτόματο τρόπο, τότε πρέπει να εκτελέσετε την ακόλουθη εντολή για να ενημερώσετε τα πραγματικά πιστοποιητικά στο / etc / ssl / certs /:Ubuntu root certs 4

sudo update-ca-πιστοποιητικά

(Εάν χρησιμοποιείτε dpkg-reconfigure αυτό γίνεται αυτόματα).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me