5

В разделе HTTPS/SSL chrome://chrome/settings я вижу следующее:Менеджер сертификатов Что это значит, и что-то не так?

У меня есть базовое понимание SSL/TLS - я не претендую на то, чтобы быть полностью знакомым, но я довольно уверен, что знаю, как это сделать - но я не понимаю, почему у меня на компьютере установлены сертификаты специально для этих места.

Насколько я понимаю, у меня должны быть сертификаты для центров сертификации, а на любом сайте, который я посещаю и использую SSL/TLS, должен быть сертификат, подписанный одним из этих доверенных центров сертификации, чтобы я мог доверять сайту.

Меня беспокоит то, что если кто-то злонамеренно установил сертификат для этих сайтов на моем компьютере, он может выполнить атаку с использованием спуфинга DNS (или ряд других атак), чтобы перехватить мое соединение с моей учетной записью электронной почты без моего ведома, и, как они получил личный аналог сертификата на моей машине, расшифровал сообщение.

NB: Я также знаю, что сертификаты CA находятся не только в Chromium и используются во всей системе как часть libssl - они хранятся в /etc/ssl/certs .

Что я хотел бы знать, это:

  • Это правильно? - Большие красные коробки заставляют меня думать, что нет
  • Это зло или доброкачественно?
  • Что я могу сделать, чтобы решить эту проблему? (Если это действительно проблема)

Спасибо :)

1 ответ1

5

Это хорошая вещь. Эти сертификаты были отозваны, часто потому, что кто-то подал заявку на / приобрел сертификат (закрытый ключ) для объекта, которым он не владеет, который можно использовать для олицетворения. Список отозванных сертификатов в вашей системе в основном говорит вашей системе не доверять этим сертификатам.

Сертификаты часто используются для идентификации веб-сайта, который полагается на то, что эмитент не выдает его кому-либо еще. Эти сертификаты на вашем скриншоте были перечислены как мошеннические или недоверенные, потому что эмитент допустил ошибку и должен сказать всем не доверять сертификату, который они уже подписали. Иногда группа, создавшая доверенный список (например, разработчики вашей ОС / браузера), может вручную добавить сертификаты в ненадежный список, возможно, если эмитенту потребуется слишком много времени для этого.

Для получения дополнительной информации см .: Сертификат открытого ключа и списки отзыва

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .