5

Я просто смотрел на свое хранилище сертификатов и увидел несколько корневых ЦС, которые выглядят подозрительно; особенно многочисленные, которые:

  • есть все буквы
  • использовать иностранные языки / текст
  • имеют очень долгий срок годности
  • включить каждую возможную цель сертификата

Я твердо верю, что некоторые из них плохие (список промежуточных ЦС выглядит чистым, только список корневых ЦС выглядит плохо). Тем не менее, в магазине достаточно сертификатов, чтобы сделать расследование каждого настоящим делом. (В журнале событий я вижу, что Windows не обновляла доверенный сторонний корневой список более двух недель.)

Кто-нибудь знает, как проверить сертификаты и отсеять плохие (или хотя бы вручную запустить обновление)?

2 ответа2

0

Вы можете взглянуть на список сертификатов Debian и отсеять те, которых там нет; затем примените последнее обновление Microsoft CA и добавьте те, которые вы установили вручную. Но, как говорит Debian:

Обратите внимание, что центры сертификации, чьи сертификаты включены в этот пакет, никоим образом не проверяются на предмет надежности и соответствия RFC 3647, и что полная ответственность за их оценку лежит на локальном системном администраторе.

0

Вы можете быстро выяснить, какие из них не были включены изначально, запустив sigcheck sigcheck.exe -tv * , который сравнивает корневой CA на вашем локальном компьютере со списком, который он загружает из Microsoft. Затем выводится разница. Те сертификаты, которые не пришли от Microsoft, должны быть введены вами или частью программного обеспечения (например, антивирус для проверки SSL). В моем случае был только один, которого я не узнал, и сразу отключил его.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .