Comprobación de certificados sospechosos (CA raíz)

5

Solo estaba mirando mi tienda de certificados y vi un montón de CA raíz que parecían algo sospechosas; específicamente numerosos que:

  • tener texto de TODAS LAS CAPS
  • utilizar idiomas extranjeros / texto
  • tienen fechas de vencimiento extremadamente largas
  • incluir todos los propósitos del certificado posibles

Creo firmemente que algunos de estos son malos (el CA intermedia la lista se ve limpia, solo el Raíz CA la lista se ve mal.) Sin embargo, hay suficientes certificados en la tienda para hacer que la investigación de cada uno sea una tarea real. (Veo en el registro de eventos que Windows no ha actualizado automáticamente la lista de raíces de terceros de confianza durante más de dos semanas).

¿Alguien sabe de una manera de verificar los certificados y eliminar los malos (o al menos para activar manualmente una actualización)?

Synetech
fuente
3
Mientras tanto, yo (1) descargado el último Actualización de CA , (2) eliminado manualmente cada articulo desde cada parte del almacén de certificados, (3) detenido cryptsvceliminado catroot2, empezado cryptsvcy (4) Aplicó la actualización. Esperemos que se pueda encontrar un método menos chamuscado para que los certificados legítimos no se eliminen de esta manera, ya que no están incluidos en la actualización de Mirosoft.
Synetech
Piensa que tienes una respuesta.
Belmin Fernandez
@ BeamingMel-Bin, es más una solución que una solución. Reventé todo, incluyendo certificados válidos que Microsoft no incluye. Busco más un programa o sitio web que le permita escanear o enviar certificados.
Synetech
Hm, tal vez no estoy entendiendo lo que querías decir con "malos" ya que todo se basa en la confianza. ¿Quiere decir que cree que algunos están comprometidos (es decir, que la clave privada está en libertad)? De lo contrario, parece que su única opción es limpiar su tienda actual y agregar una en la que confíe o confíe por asociación (Microsoft de confianza y la suya propia).
Belmin Fernandez
Quiero decir que parece una manojo de los malos, de alguna manera se han colado allí, los que permiten que los sitios y archivos sean confiables cuando no deberían, de ahí las largas fechas de caducidad y los privilegios completos.
Synetech

Respuestas:

0

Puedes echar un vistazo a Lista de certificados de Debian , y elimine a los que no están allí; A continuación, aplique la última Actualización de Microsoft CA y añada los que haya instalado manualmente. Pero como dice Debian:

Tenga en cuenta que las autoridades de certificación cuyos certificados son   Incluido en este paquete no se audita de ninguna manera para   Confiabilidad y cumplimiento de RFC 3647, y toda la responsabilidad   Para evaluarlos pertenece al administrador del sistema local.

tricasse
fuente
Ya había intentado eliminar todos los certificados e instalar la última actualización, pero no me ayudó.
Synetech
0

Puede descubrir rápidamente cuáles no se incluyeron originalmente ejecutando sigcheck sigcheck.exe -tv *, que compara la CA raíz en su computadora local con una lista que descarga de Microsoft. Entonces sale la diferencia. Los certificados que no provienen de Microsoft deben haber sido presentados por usted mismo o por una pieza de software (es decir, un antivirus para la inspección de SSL). En mi caso solo hubo uno que no reconocí y lo desactivé de inmediato.

darmual
fuente