การตรวจสอบใบรับรองที่น่าสงสัย (root CA)


5

ฉันเพิ่งดูที่เก็บใบรับรองของฉันและเห็นรูต CA จำนวนหนึ่งที่ดูน่าสงสัย หลายคนโดยเฉพาะที่:

  • มีข้อความ CAPS ทั้งหมด
  • ใช้ภาษา / ข้อความต่างประเทศ
  • มีวันหมดอายุที่ยาวมาก
  • รวมถึงทุก ๆ วัตถุประสงค์ของใบรับรองที่เป็นไปได้

ฉันเชื่ออย่างยิ่งว่าบางส่วนของสิ่งเหล่านี้ไม่ดี (รายการIntermediate CAดูสะอาดเฉพาะรายการRoot CA ที่ดูไม่ดี) อย่างไรก็ตามมีใบรับรองเพียงพอในร้านค้าที่จะทำการตรวจสอบแต่ละงานที่น่าเบื่อจริง (ฉันเห็นในบันทึกเหตุการณ์ว่า Windows ไม่ได้อัปเดตรายชื่อบุคคลที่สามที่เชื่อถือได้โดยอัตโนมัตินานกว่าสองสัปดาห์)

ไม่มีใครทราบวิธีการตรวจสอบใบรับรองและกำจัดสิ่งที่ไม่ดี (หรืออย่างน้อยก็เพื่อทริกเกอร์การอัปเดตด้วยตนเอง)


3
ในหมายถึงเวลาที่ฉัน(1)ดาวน์โหลดล่าสุดปรับปรุง CA , (2)ลบออกด้วยตนเองทุกรายการจากทุกส่วนของการจัดเก็บใบรับรอง(3)หยุดการcryptsvcลบcatroot2เริ่มต้นcryptsvcและ(4)นำไปใช้ปรับปรุง หวังว่าจะพบวิธีการเผาไหม้น้อยลงเพื่อที่ใบรับรองที่ถูกต้องจะไม่ถูกลบล้างเช่นนี้เนื่องจากไม่รวมอยู่ในการอัปเดตจาก Mirosoft
Synetech

คิดว่าคุณได้คำตอบแล้ว
Belmin Fernandez

@ BeamingMel-Bin มันเป็นมากกว่าวิธีแก้ปัญหา ฉันทำลายสิ่งต่าง ๆ ทั้งหมดรวมถึงใบรับรองที่ถูกต้องซึ่ง Microsoft ไม่ได้รวม ฉันกำลังมองหาโปรแกรมหรือเว็บไซต์ที่ให้คุณสแกนหรือส่ง certs
Synetech

อืมบางทีฉันอาจเข้าใจผิดในสิ่งที่คุณหมายถึง "คนเลว" เพราะมันมีพื้นฐานอยู่บนความไว้วางใจ คุณหมายความว่าคุณเชื่อว่ามีบางคนที่ถูกบุกรุก (เช่นรหัสส่วนตัวอยู่ในป่า) หรือไม่? มิฉะนั้นดูเหมือนว่าจะเป็นการล้างร้านค้าปัจจุบันของคุณและเพิ่มร้านค้าที่คุณเชื่อถือหรือไว้วางใจโดยการเชื่อมโยง (Microsoft ที่ไว้วางใจและของคุณเอง) เป็นตัวเลือกเดียวของคุณ
Belmin Fernandez

ฉันหมายความว่ามันดูเหมือนกลุ่มคนเลวได้รับการติดอยู่ในนั้นอย่างใดอย่างหนึ่งที่ช่วยให้เว็บไซต์และไฟล์ที่เชื่อถือได้เมื่อพวกเขาไม่ควรดังนั้นวันหมดอายุที่ยาวนานและสิทธิ์เต็มรูปแบบ
Synetech

คำตอบ:


0

คุณสามารถดูรายการใบรับรองของเดเบียนและคัดออกใบรับรองที่ไม่ได้อยู่ที่นั่น จากนั้นใช้การอัปเดต Microsoft CA ล่าสุดและเพิ่มสิ่งที่คุณติดตั้งด้วยตนเอง แต่เป็น Debian พูดว่า:

โปรดทราบว่าผู้ออกใบรับรองที่มีใบรับรองที่รวมอยู่ในแพ็คเกจนี้จะไม่ได้รับการตรวจสอบเพื่อความน่าเชื่อถือและการปฏิบัติตาม RFC 3647 และความรับผิดชอบเต็มที่ในการประเมินพวกเขาเป็นของผู้ดูแลระบบท้องถิ่น


ฉันได้ลองลบ certs ทั้งหมดและติดตั้งอัปเดตล่าสุดแล้ว แต่ก็ไม่ได้ช่วยอะไร
Synetech

0

คุณสามารถค้นหาได้อย่างรวดเร็วว่าไม่รวมอยู่ในรายการใดโดยเรียกใช้sigcheck sigcheck.exe -tv *ซึ่งจะเปรียบเทียบรูต CA ในคอมพิวเตอร์ของคุณกับรายการที่ดาวน์โหลดจาก Microsoft จากนั้นจะให้ผลลัพธ์ที่แตกต่าง certs ที่ไม่ได้มาจาก Microsoft จะต้องได้รับการแนะนำด้วยตัวเองหรือซอฟต์แวร์บางส่วน (เช่นโปรแกรมป้องกันไวรัสสำหรับการตรวจสอบ ssl) ในกรณีของฉันมีเพียงคนเดียวที่ฉันไม่รู้จักและปิดใช้งานทันที

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.