В Windows Есть Внутренний Список Неудаляемых Корневых Сертификатов.

В Windows, согласно эта информация Корневые сертификаты обновляются с использованием списка доверия сертификатов — CTL. Хотя из статьи следует, что это какой-то гаджет для кэширования списка сертификатов на локальном сервере, поиск услужливо подсказывает, что есть authrootstl.cab , подписанный Microsoft, которому Windows, начиная с 7-й версии, доверяет безоговорочно и обновляет его каждую неделю, а также в случае установки обновления КБ3004394 - каждый день.

В консоли (MMC) можно добавлять сертификаты, которым не доверяют, но удалить корневой сертификат не так-то просто.

Вдохновленный недавним скандалом со слиянием WoSign и StartCom, я решил удалить какой-то дурацкий сертификат из Windows 7. Выбор пал на Izenpe.com (‎06 e8 46 27 2f 1f 0a 8f d1 84 5c e3 69 f6 d5), потому что Баски и ША-1. Но не тут то было.

После удаления корневого сертификата и входа в систему https://www.izenpe.com начиная с Chrome 55.0.2883.87 м сертификат появился в списке сторонних корневых центров сертификации, и соответственно в списке доверенных корневых центров сертификации.

Что, в принципе, ожидаемо.

Google Chrome пытается использовать хранилище корневых сертификатов базовой операционной системы, чтобы определить, действительно ли SSL-сертификат, представленный сайтом, заслуживает доверия, за некоторыми исключениями.

https://www.chromium.org/Home/chromium-security/root-ca-policy

С Internet Explorer 11.0.9600.18163 трюк повторяется.

Казалось бы, виновные найдены.

Но нет, давай возьмем это https://opensource.apple.com/source/security_certificates/security_certificates-55036/roots/Izenpe-RAIZ2007.crt и откройте его через расширения Encryption Shell, то есть двойным щелчком мыши.

И мы видим, что сертификату доверяют. Как это вообще? Заходим в консоль и видим, что злополучный сертификат находится в списке доверенных корневых центров сертификации.

Или, может быть, Windows переносит все неизвестные корневые сертификаты в доверенное хранилище? Возьмите OpenSSL, сгенерируйте корневой сертификат и откройте его.

Ненадежный.

И я уже надеюсь, что смогу подписывать сертификаты Github своими центрами сертификации.

Хотя ни одна из записей реестра, описанных в статье technet, не существует по умолчанию ни в Windows 7, ни в Windows Server 2012, похоже, что существует жестко запрограммированный список доверенных сертификатов, который не отображается в реестре, групповых политиках или в консоли управления.

.

Теги: #Windows #сертификаты #центр сертификации #центр сертификации #центры сертификации #сертификат #сертификаты #сертификат #SSL #SSL-сертификаты #tls #microsoft #Microsoft Windows #Microsoft Windows Server #windows server #информационная безопасность

• Где Отдыхают Российские Предприниматели И Представители It-Индустрии: Часть Вторая

  19 Oct, 24

• «Ростех» Предложил Перевести Пенсионный Фонд И «Почту России» На Пк С Российским Процессором За 70 Тысяч Рублей

  19 Oct, 24

• Что Подарить Другу Через Интернет, Если Забыл Купить Подарок

  19 Oct, 24

• Нужны Разные Злоупотребления, Важны Разные Злоупотребления...

  19 Oct, 24

• Утилита Для Работы Со Скриншотами Photofile Clip Client

  19 Oct, 24

• Отчет Римского Клуба 2018 Г., Глава 1.7 «Неустойчивый Рост Населения И Урбанизация»

  19 Oct, 24

• Страна Лохотрона Или Онлайн-Прогиба

  19 Oct, 24

• Amazon Kindle Fire Os С Открытым Исходным Кодом

  19 Oct, 24

• Гистограмма И Коробка С Усами На Пальцах

  19 Oct, 24

• Департамент «Синергия» Объединит Интернет-Проекты Финам

  19 Oct, 24