Come assicurarsi che i certificati attendibili del laptop siano sicuri

1

Ho un laptop Lenovo 8.1 di Windows. La cattiva app e il certificato Superfish sono stati rimossi. Il mio laptop ha 36 certificati in certmgr.msc utente corrente \ autorità di certificazione radice di terze parti \ certificati.

C'è un modo per sapere se un certificato potrebbe essere dannoso o compromesso? Poiché i certificati sono così importanti per la sicurezza, dovrebbe esserci un modo per un amministratore di essere sicuro che i certificati affidabili sul PC dell'utente siano sicuri o meno.

    
posta user584583 21.02.2015 - 18:55
fonte

2 risposte

1

La maggior parte dei certificati viene aggiornata tramite qualsiasi meccanismo di aggiornamento disponibile per il sistema. Non è possibile essere certi che i certificati installati con il browser non vengano effettivamente utilizzati per mitm. D'altra parte, potresti scrivere un piccolo script che usa la modalità client openssl per recuperare i certificati x509 di destinazioni basate su SSL e da lì fare un confronto con la firma del sito in arrivo.

Questo non si adatta molto bene però. Inoltre, potreste essere consapevoli che, almeno su MacOSX, esiste il client ocsp che funziona anche per revocare i certificati x509. Il problema è tale che una volta che hai installato un cert root root nel tuo sistema, quasi tutto può essere falsificato, che include il download di qualsiasi soluzione tramite https. Nel peggiore dei casi, è possibile scaricare, almeno per Firefox, l'insieme di certificati installati nel browser e eseguire un rapido test di verifica. Ma oltre lo stesso sistema rotto? Avvia in un livecd, possibilmente ubuntu, e fai i download in questo modo.

Per favore abbraccia il tuo povero amministratore di sistema che deve confermare se i tuoi certificati sono in ordine.

    
risposta data 21.02.2015 - 20:33
fonte
0

Non esiste un certificato sicuro o non sicuro . In questo senso tutti i certificati sono uguali. I certificati riguardano solo la fiducia. Quando puoi fidarti di un certificato?
Potresti fare un'indagine approfondita su chi c'è dietro (chi detiene la chiave privata corrispondente) ciascuno dei 36 certificati e fare un audit delle loro politiche da solo. La maggior parte delle persone, tuttavia, semplicemente si fida di Microsoft per prendere una decisione informata per i certificati preinstallati.

Per peggiorare le cose: un browser come Firefox è dotato di un proprio set di certificati radice quindi ora devi fidarti anche di Mozilla.

Il meglio che puoi fare è confrontare quell'elenco di certificati con l'elenco standard di Microsoft (ammesso che esista un elenco di questo tipo)

    
risposta data 21.02.2015 - 20:06
fonte

Leggi altre domande sui tag