Проверка подозрительных (корневых ЦС) сертификатов
Я просто смотрел на свое хранилище сертификатов и увидел несколько корневых ЦС, которые выглядят подозрительно; особенно многочисленные, которые:
- есть все буквы
- использовать иностранные языки / текст
- имеют очень долгий срок годности
- включить каждую возможную цель сертификата
Я твердо верю, что некоторые из них являются плохими (список промежуточных ЦС выглядит чистым, только список корневых ЦС выглядит плохо.) Однако в хранилище достаточно сертификатов, чтобы расследование каждого из них стало настоящим делом. (Я вижу в журнале событий, что Windows не обновляла доверенный сторонний корневой список более двух недель.)
Кто-нибудь знает способ проверки сертификатов и устранения плохих (или, по крайней мере, ручного запуска обновления)?
2 ответа
Вы можете взглянуть на список сертификатов Debian и отсеять те, которых там нет; затем примените последнее обновление Microsoft CA и добавьте те, которые вы установили вручную. Но, как говорит Debian:
Обратите внимание, что центры сертификации, чьи сертификаты включены в этот пакет, никоим образом не проверяются на предмет надежности и соответствия RFC 3647, и что полная ответственность за их оценку лежит на локальном системном администраторе.
Вы можете быстро выяснить, какие из них не были включены изначально, запустив sigcheck sigcheck.exe -tv *, который сравнивает корневой CA на вашем локальном компьютере со списком, который он загружает из Microsoft. Затем выводится разница. Те сертификаты, которые не пришли от Microsoft, должны быть введены вами или частью программного обеспечения (например, антивирус для проверки SSL). В моем случае был только один, которого я не узнал, и сразу отключил его.