Google находится в процессе удаления CNNIC как доверенного корня.

Я хотел убедиться, что у меня их нет в моем хранилище сертификатов в любом случае. Поэтому я проверяю certmgr.msc и ищу их. Их нет ни в моём

  • Доверенные корневые центры сертификации, ни
  • Сторонние корневые центры сертификации

Затем я просматриваю их сайт

Затем я просматриваю к https://www.cnnic.cn/, чтобы подтвердить , что их сертификат недействителен. И хотя есть обычные предупреждения о незащищенности css и изображений (и предупреждения об использовании слабого шифрования), сам сертификат действителен !:

Поэтому я решил посмотреть сертификат, чтобы увидеть его цепочку сертификации. Конечно , они должны вернуться к цепи с доверенным корнем , что мой компьютер не считает действительным.

Но сам акт просмотра сертификата вызывает его добавление в мой магазин доверенных корней:

Я совершенно уверен, что они не взламывают Chrome на лету. Так как же этот сертификат попадает в мой список доверенных корней без моего разрешения?

Это также приводит к большему вопросу:

  • Как предотвратить добавление доверенных корневых сертификатов в список доверенных корневых сертификатов без моего разрешения?
  • как я могу локально отозвать или "не доверять" сертификату

Бонус Болтовня

Китайский Информационный Центр Интернет-Сети

  • Тема: CNNIC ROOT
  • Эмитент: CNNIC ROOT (самозаверяющий, конечно)
  • Действительно с: понедельник, 16 апреля 2007 г., 3:09:14
  • Действительно: пятница, 16 апреля 2027 г., 3:09:14
  • Отпечаток (ша): ‎8b af 4c 9b 1d f0 2a 92 f7 da 12 8e b9 1b ac f4 98 60 4b 6f

1 ответ1

2

Вы можете сделать это, просто переместив его в "Ненадежные сертификаты" самостоятельно. Это все, что Microsoft сделала бы, если бы они занесли в черный список корневой сертификат, хотя они сделали бы это на более высоком уровне, и это затронуло бы всех пользователей, если бы они это сделали.

Это работает только для браузеров, которые уважают хранилище сертификатов операционной системы. Поскольку Firefox использует собственное хранилище сертификатов, вы должны указать Firefox, что вы больше не доверяете рассматриваемому корневому сертификату.

Сертификация Windows Internet Explorer 11 Fire Fox Хром

Если вы хотите просмотреть хранилище сертификатов компьютера, которое будет отправной точкой для хранилища сертификатов всех пользователей, выполните следующие действия.

  1. Пуск> введите mmc в командной строке
  2. Это вызовет консоль управления Microsoft.
  3. Выберите «Файл»> «Добавить / удалить оснастку».
  4. Выберите Сертификаты> Добавить
  5. Выберите учетную запись компьютера
  6. Выберите локальный компьютер
  7. Выберите Финш и ОК

Похоже, вам нужно будет "экспортировать" сертификат из хранилища сертификатов пользователя и импортировать его в хранилище сертификатов компьютера и просто поместить его в "Ненадежный сертификат", в результате чего все пользователи компьютера будут отозваны.

То, как вы это сделаете в домене, будет немного другим, но применяется тот же принцип.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .