Affidandoti alla CA principale, ti stai fidando del loro giudizio su chi firmano. Finché la CA intermedia è valida, non revocata e ci si fida della CA radice ... la catena verrà sempre verificata. Altre applicazioni (come FireFox) possono aggiungere ulteriori controlli e funzionalità per verificare la presenza di certificati intermedi non attendibili, ma a meno che l'applicazione non lo faccia non fa parte delle specifiche SSL / TLS.
Per rimuovere CA root attendibili è possibile eseguire le seguenti operazioni:
update-ca-certificates
updates /etc/ssl/certs
leggendo /etc/ca-certicates.conf
. /etc/ca-certificates.conf
viene generato automaticamente eseguendo sudo dpkg-reconfigure ca-certificates
.
Questo farà apparire una GUI di comando.
- Al primo prompt hai la possibilità di dire Sì / No / Richiedi nuovi certificati. Fai clic su Chiedi
- Ora ti verrà fornito un elenco enorme di CA con
*
accanto a loro. Vai in fondo all'elenco e rimuovi le CA che vuoi premendo spacebar
. Il *
verrà rimosso.
- Al termine, premi
Enter
.
- Ciò dovrebbe attivare l'aggiornamento di
/etc/ssl/certs
. Le CA che hai rimosso dovrebbero essere elencate al prompt dei comandi.
Se non vedi qualcosa di simile:
Processing triggers for ca-certificates ...
Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Removing debian:A-Trust-nQual-03.pem
done.
done.
Quindi eseguirò sudo update-ca-certificates
per garantire che /etc/ssl/certs
venga aggiornato in modo appropriato.
Ho eseguito tutto questo su un sistema basato su Debian.