根证书指南

最近的一次更新引起了一些争议,该更新在Windows中悄悄地向Windows添加了17个新的根证书(并删除了1个),而没有提醒用户注意这一事实,从而导致某些人称整个系统为“损坏”.

因此,我们认为是时候解释什么是根证书了,以及读者是否应该担心……

什么是根证书?

当您访问网站时,您如何知道它是您认为正在访问的网站?互联网对此问题的答案是SSL证书(也称为HTTPS证书).

当您访问受SSL保护的网站(https://)时,除了使用SSL / TSL加密保护连接的安全性外,该网站还将向您的浏览器显示一个SSL证书,表明该证书(或更准确地说是该网站公钥的所有权) )已由公认的证书颁发机构(CA)认证。现有大约1200个这样的CA.

如果为浏览器提供了有效的证书,则它将假定网站是真实的,启动安全连接,并在其URL栏中显示锁定的挂锁,以警告用户其认为该网站是真实安全的.

bestvpn https

该系统是Internet上安全性的基石,并且几乎每个处理敏感信息的安全网站(包括银行,Webmail服务,付款处理器等)都使用该系统,因此依赖于信任CA。.

证书颁发机构基于信任链颁发证书,以树状结构的形式向权威性较低的CA颁发多个证书。因此,根证书颁发机构是信任锚,所有较低权威的CA中的信任都基于该信任锚。根证书用于认证根证书颁发机构.

那么谁颁发根证书?根证书

通常,根证书由操作系统开发人员(例如Microsoft和Apple)分发。大多数第三方应用程序和浏览器(例如Chrome)使用系统的根证书,但是一些开发人员使用他们自己的产品使用的Mozilla(Firefox),Adobe,Opera和Oracle,尤其是Mozilla(Firefox),Adobe,Opera和Oracle.

CA系统的问题

因此,整个CA系统都依赖于信任,那么您如何知道这些证书可以信任?好吧,最终,您必须信任某个人,如果您信任所使用软件的开发人员,那么您就必须信任他们的证书。.

至少那是理论。正如Google最近对伪造SSL证书的警告所表明的那样,只有一个“流氓” CA颁发不可靠的证书会造成严重破坏,而且不幸的是,证书颁发机构会(而且众所周知)会发布伪造证书。通常的罪魁祸首是不道德的政府对CA公司施加压力,但犯罪分子也可以使用强大的CA进行交易,黑客可能会破坏其系统.

电子前沿基金会(EFF)确实启动了SSL天文台项目,旨在调查用于保护互联网安全的所有证书,并邀请公众将其发送给证书进行分析。但是据我们所知,这个项目从未真正起步,而且已经休眠了多年.

那么,为什么所有关于微软“偷偷地”添加根证书的大惊小怪?

一些评论员对Microsoft添加新的根证书一事不知所措,而没有提醒用户或征求他们的许可。但是,我们必须指出,绝大多数用户(包括我们)没有可靠的方法来确定给定的根证书颁发机构是否值得信任,这使整个争议在我们看来毫无意义……

如果您不信任Microsoft,则不要使用Windows。当然,如果您非常重视安全性,那么您无论如何都不应该信任Microsoft,并且Windows附带的某些根证书很有可能允许NSA在您选择的计算机上执行MitM攻击。从理论上讲,它们可以将您引导到伪造的网站,这些网站由于使用伪造的SSL证书而看上去对您的浏览器而言是真实的.

那些对安全性很认真的人应该使用Linux(最好是经过硬化的发行版)。还应该强调的是,丝毫不能认为任何移动操作系统都是安全的。.

值得一提的是,最近添加到Microsoft证书信任列表中的新证书颁发机构列表对我们来说似乎无害(许多只是对旧证书的升级),但是谁知道?

如何删除根证书

如果您确实不喜欢特定的根证书颁发机构,则可以删除其根证书。请注意,这样做会使该证书颁发机构颁发的所有证书以及它授权的所有“较小” CA的所有证书均不受信任。删除这些内容可能会对您的互联网体验产生非常负面的影响.

鉴于最近Google伪造证书的惨败,有人建议删除中国的CA。但是,我们强调,这样做完全由您自己承担风险.

视窗

我们正在使用Windows 8.1,但是在所有版本的Windows上,该过程应该几乎相同.

1.右键单击Internet Explorer图标 -> 以管理员身份运行

2.转到工具(右上方的齿轮图标) -> 互联网选项 -> 内容标签 -> 证明书 -> 受信任的根证书颁发机构

3.选择要删除的证书,然后点击“删除”。请注意,先“导出”证书以进行备份可能是一个很好的主意,以便以后需要时可以再次“恢复”.IE根证书

火狐浏览器 (仅限桌面版本)

1.打开Firefox并转到“打开菜单” -> 选件 -> 高级 -> 证明书 -> 查看证书

2.在“证书管理器”窗口中,单击“权限”选项卡,您将在下面看到授权的根CA的列表以及它们已授权的证书。

3.点击您不喜欢的证书,然后点击“删除或不信任”Firefox根证书1

如果确定,请单击确定Firefox根证书2

要完全删除给定的根CA,您必须“删除或不信任”它已授权的所有证书。与删除Windows根证书一样,强烈建议您先备份已删除的证书.

Mac OSX

我不是Mac用户,但据我了解,Apple不允许用户删除根证书,即使使用根特权也是如此。可以使用钥匙串访问权限删除非根证书.

安卓系统 (5.1棒棒糖,但在所有版本上都相似)

1.前往[设定] -> 安全 -> 可信凭证 -> 系统标签。触摸您不喜欢的证书旁边的绿色对勾

2.向下滚动证书详细信息到底部,然后选择“禁用”Android根证书1

的iOSAndroid根证书2

无法在iOS中删除根证书(可以使用iPhone配置实用程序删除个人证书).

的Ubuntu (对于大多数版本的Linux都是类似的)

取消选择CA的最简单方法是打开终端并运行:

sudo dpkg-重新配置ca证书

按空格取消选择证书.Ubuntu根证书3

CA的列表存储在文件/etc/ca-certificates.conf中。可以通过输入以下内容进行手动编辑:

纳米/etc/ca-certificates.conf

如果手动编辑此文件,则需要运行以下命令以更新/ etc / ssl / certs /中的实际证书:Ubuntu根证书4

sudo update-ca-certificates

(如果您使用dpkg-reconfigure,则会自动完成).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me