最近的更新中引起了一些爭議,該更新悄悄地向Windows添加了17個新的根證書(並刪除1),而無需提醒用戶這一事實,導致一些人稱呼整個系統”破碎的'。
因此,我們認為是解釋什麼是根證書的好時機,以及讀者是否應該擔心……
什麼是根證書?
當您訪問網站時,您怎麼知道這是您認為您正在訪問的網站? Internet對此問題的答案是SSL證書(也稱為HTTPS證書)。
當您訪問SSL有擔保網站(https://)時,除了使用的連接使用SSL/TSL加密,該網站將向您的瀏覽器提供SSL證書,以表明該證書(或更準確地擁有該網站的公鑰)已通過公認證書授權(CA)。有一些1200存在這樣的CA。
如果向瀏覽器提供有效的證書,則將假設網站是真實的,啟動安全連接,並在其URL欄中顯示鎖定的掛鎖,以提醒用戶它認為該網站是真實且安全的。
該系統是Internet上安全性的基石,幾乎可以使用處理敏感信息的每個安全網站(包括銀行,網絡郵件服務,付款處理器等),因此依賴於信任CAS。
證書機構根據信託鏈發出證書,以A的形式頒發多個證書樹結構對較少權威的CAS。因此,根證書授權是信任錨對所有較少權威的CAS的信任是基於的。根證書用於身份驗證根證書授權。
那麼誰發行了根證書?
一般而言,根證書由OS開發人員(例如Microsoft和蘋果。大多數第三方應用程序和瀏覽器(例如Chrome)都使用該系統的根證書,但有些開發人員使用了自己的(尤其是)Mozilla(Firefox),Adobe,Opera和Oracle,它們的產品使用。
CA系統問題
因此,整個CA系統依賴於信任,那麼您如何知道這些證書可以被信任?好吧,在一天結束時,您必須信任有人,如果您信任所使用的軟件的開發人員,那麼您必須信任他們的證書。
至少那是理論。作為最近的Google警告通過假SSL證書證明,只有一個“流氓” CA發出不可靠的證書可能會造成破壞,不幸的是,證書iesirity可以(並且有已知發行偽造的 證書。通常的罪魁禍首是不道德的政府對CA公司施加壓力,但犯罪分子也可以強大的CAS,黑客可能會損害其係統。
電子邊界基礎(EFF)確實開始了SSL天文台項目旨在調查用於保護互聯網的所有證書,邀請公眾發送證書進行分析。但是,據我們所知,該項目從未真正脫離地面,並且已經處於休眠狀態多年。
那麼,為什麼所有關於Microsoft“ Sneakily”添加根證書的大驚小怪呢?
一些評論員已經陷入了Microsoft的tizz,添加了新的根證書,而無需提醒用戶或徵求他們的許可。但是,我們必須指出,絕大多數用戶(包括我們)沒有可靠的方法來確定給定的根證書權限是否值得信賴,這使我們認為這一整個糾紛在我們看來是毫無意義的……
如果您不信任Microsoft,請不要使用Windows。當然,如果您對安全性很認真,那麼您真的不應該相信Microsoft,而且很可能已經使用Windows發貨的一些根證書可以使NSA執行MITM他們應該選擇對您的計算機發動攻擊。從理論上講,這些可以將您帶到虛假的網站,這要歸功於偽造的SSL證書。
那些對安全性認真的人應使用Linux(最好是硬化的發行版)。還應強調的是,在稍微安全的一點上都不能考慮移動操作系統。
對於它的價值,清單新證書局最近添加到微軟證書信任列表對我們來說看上去很無害(許多只是升級到較舊的證書),但是誰知道呢?
如何刪除根證書
如果您真的不喜歡特定的根證書授權,則可以刪除其根證書。請注意,這樣做會使該證書機構簽發的所有證書不受信任,以及其授權的所有“較小” CA的證書。刪除這些可能會對您的互聯網體驗產生非常負面的影響。
在最近的Google偽造證書慘敗之後,有些人建議刪除中文CA。但是,我們強調的是,這樣做完全承擔了您自己的風險。
視窗
我們正在使用Windows 8.1,但是在所有版本的Windows上,該過程都應幾乎相同。
1。右鍵單擊Internet Explorer圖標 - >作為管理員運行
2。轉到工具(右上角的齒輪圖標) - > Internet選項 - >內容選項卡 - >證書 - >可信賴的根認證機構
3。選擇要刪除的證書,然後點擊“刪除”。請注意,首先“導出”備份證書可能是一個很好的主意,以便您以後在需要時再次“還原”它。
Firefox(僅桌面版本)
1。打開firefox,轉到打開菜單 - >選項 - >高級 - >證書 - >查看證書
2。在“證書管理器”窗口中,單擊“權威”選項卡,您將看到授權的root cas列表,以及他們在下面授權的證書
3。單擊您不喜歡的證書,然後點擊“刪除或不信任”
如果確定
要完全刪除給定的根CA,您必須“刪除或不信任”其已授權的所有證書。與刪除Windows根證書一樣,我們強烈建議首先備份刪除證書。
MAC OSX
我不是Mac用戶,但是據我了解,Apple不允許用戶刪除根證書,即使使用根特權。可以使用鑰匙扣訪問刪除非根本證書。
安卓(5.1 Lollipop,但在所有版本上都相似)
1。轉到設置 - >安全性 - >受信任的憑據 - >系統選項卡。觸摸您不喜歡的證書旁邊的綠色滴答
2。向下滾動的證書詳細信息到底部,然後選擇“禁用”
ios
無法在iOS中刪除根證書(個人證書可以是刪除使用iPhone配置實用程序)。
Ubuntu(對於大多數版本的Linux來說都是相似的)
取消選擇CA的最簡單方法是打開終端並運行:
sudo dpkg-reconfigure ca ca-cepificates
按空格取消選擇證書。
CAS的列表存儲在文件/ETC/CA-CERTIFICATES.CONF中。可以通過輸入來手動編輯:
nano /etc /ca-certificates.conf
如果您手動編輯此文件,則需要運行以下命令以更新/etc/ssl/certs/::
sudo update-ca認證
(如果使用dpkg-reconfigure,則自動完成此操作)。