1

Отказ от ответственности: я новичок в SSL, нахожу его немного запутанным, и мне нужен ответ довольно быстро.

Мне сказали, что существует опасность, что мое "хранилище ключей" может быть повреждено, поэтому я пытаюсь изучить его и разобраться в нем. Я использую Arch Linux.

Я вижу много забавных вещей в /etc/ssl/certs (и я предполагаю, что вопрос № 1 таков:«Это что такое« хранилище ключей »?»)."), но этот список стал намного более разумным, когда я пропустил его через readlink -f и удалил дубликаты. Похоже, все мои сертификаты взяты из /usr/share/ca-certificates/ . Основная их часть находится в подкаталоге mozilla/ , но есть и другие подкаталоги, такие как:

brazil.gov.br/
cacert.org/
debconf.org/
gouv.fr/
signet.pl/
spi-inc.org/

Моя главная проблема в том, что я не знаю, как обнаружить подозрительный сертификат. Простое посещение этих сайтов кажется нелогичным (то есть они могут иметь ту же самую вредоносную программу, которая потенциально повредила мое хранилище ключей в первую очередь).

ca-certificates - это пакет, установленный моим менеджером пакетов; Могу ли я просто удалить его, а затем переустановить? Это безопасно сделать?

ОБНОВИТЬ:

Проблема, которая вызвала это расследование, была неопознанным сертификатом VeriSign. В частности, мне дали подпись с сертификатом, который я не имел (но, вероятно, должен) и которому не доверял.

Я нашел эту страницу на сайте VeriSign, где перечислен целый набор сертификатов:http://www.verisign.com/support/roots.html ... и поэтому я начал проверять отпечатки пальцев сертификатов, которые я установил, по сравнению с сертификатами на сайт.

for cert in /etc/ssl/certs/Veri[Ss]ign*; do
    printf "%s: " $cert
    openssl x509 -noout -in $cert -fingerprint
done

Результат: один не совпадает. Звучит как важный: "VeriSign Class 1 Public Primary CA".

Осложнения: мой менеджер пакетов говорит мне, что с контрольной суммой моих существующих сертификатов все в порядке. Кроме того, отпечаток на сертификате, который я должен иметь, не совпадает ни с тем, что у меня есть, ни с тем, что указан на сайте VeriSign.

1 ответ1

0

Сертификаты, выдаваемые конечным субъектам (например, веб-серверу) ЦС, обычно выдаются через промежуточный ЦС. На это есть несколько причин. Когда ЦС впервые начали выдавать сертификаты таким образом, операторы серверов не могли установить промежуточный ЦС, таким образом, посещая пользователей, у которых нет кэшированной (или установленной) копии сертификата цепочки, в ситуации, когда они имеют корневой сертификат. и сертификат EE, но нет возможности соединить их. Сегодня это встречается гораздо реже, но может быть проблема, с которой вы сталкиваетесь - это посещение общедоступного сервера, - если так, я посмотрю на вас. Вы всегда можете взглянуть на CertificateName сертификата EE, который вы не можете проверить, и посмотреть, сможете ли вы найти соответствующий сертификат «промежуточного CA» на сайте VeriSign. Если это так, вы сможете проверить EE с промежуточным и промежуточный с корнем. Если вы собираетесь сделать это вручную, я предлагаю вам также выполнить проверку сертификата - OCSP поддерживается VeriSign на всех их центрах сертификации ... большинство (все?) премиальные CA за эту форму проверки в реальном времени / почти в реальном времени ... в противном случае лучше всего будут CRL.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .