Отказ от ответственности: я новичок в SSL, нахожу его немного запутанным, и мне нужен ответ довольно быстро.
Мне сказали, что существует опасность, что мое "хранилище ключей" может быть повреждено, поэтому я пытаюсь изучить его и разобраться в нем. Я использую Arch Linux.
Я вижу много забавных вещей в /etc/ssl/certs
(и я предполагаю, что вопрос № 1 таков:«Это что такое« хранилище ключей »?»)."), но этот список стал намного более разумным, когда я пропустил его через readlink -f
и удалил дубликаты. Похоже, все мои сертификаты взяты из /usr/share/ca-certificates/
. Основная их часть находится в подкаталоге mozilla/
, но есть и другие подкаталоги, такие как:
brazil.gov.br/
cacert.org/
debconf.org/
gouv.fr/
signet.pl/
spi-inc.org/
Моя главная проблема в том, что я не знаю, как обнаружить подозрительный сертификат. Простое посещение этих сайтов кажется нелогичным (то есть они могут иметь ту же самую вредоносную программу, которая потенциально повредила мое хранилище ключей в первую очередь).
ca-certificates
- это пакет, установленный моим менеджером пакетов; Могу ли я просто удалить его, а затем переустановить? Это безопасно сделать?
ОБНОВИТЬ:
Проблема, которая вызвала это расследование, была неопознанным сертификатом VeriSign. В частности, мне дали подпись с сертификатом, который я не имел (но, вероятно, должен) и которому не доверял.
Я нашел эту страницу на сайте VeriSign, где перечислен целый набор сертификатов:http://www.verisign.com/support/roots.html ... и поэтому я начал проверять отпечатки пальцев сертификатов, которые я установил, по сравнению с сертификатами на сайт.
for cert in /etc/ssl/certs/Veri[Ss]ign*; do
printf "%s: " $cert
openssl x509 -noout -in $cert -fingerprint
done
Результат: один не совпадает. Звучит как важный: "VeriSign Class 1 Public Primary CA".
Осложнения: мой менеджер пакетов говорит мне, что с контрольной суммой моих существующих сертификатов все в порядке. Кроме того, отпечаток на сертификате, который я должен иметь, не совпадает ни с тем, что у меня есть, ни с тем, что указан на сайте VeriSign.