Solo estaba mirando mi tienda de certificados y vi un montón de CA raíz que parecían algo sospechosas; específicamente numerosos que:
- tener texto de TODAS LAS CAPS
- utilizar idiomas extranjeros / texto
- tienen fechas de vencimiento extremadamente largas
- incluir todos los propósitos del certificado posibles
Creo firmemente que algunos de estos son malos (el CA intermedia la lista se ve limpia, solo el Raíz CA la lista se ve mal.) Sin embargo, hay suficientes certificados en la tienda para hacer que la investigación de cada uno sea una tarea real. (Veo en el registro de eventos que Windows no ha actualizado automáticamente la lista de raíces de terceros de confianza durante más de dos semanas).
¿Alguien sabe de una manera de verificar los certificados y eliminar los malos (o al menos para activar manualmente una actualización)?
cryptsvc
eliminadocatroot2
, empezadocryptsvc
y (4) Aplicó la actualización. Esperemos que se pueda encontrar un método menos chamuscado para que los certificados legítimos no se eliminen de esta manera, ya que no están incluidos en la actualización de Mirosoft.Respuestas:
Puedes echar un vistazo a Lista de certificados de Debian , y elimine a los que no están allí; A continuación, aplique la última Actualización de Microsoft CA y añada los que haya instalado manualmente. Pero como dice Debian:
fuente
Puede descubrir rápidamente cuáles no se incluyeron originalmente ejecutando sigcheck
sigcheck.exe -tv *
, que compara la CA raíz en su computadora local con una lista que descarga de Microsoft. Entonces sale la diferencia. Los certificados que no provienen de Microsoft deben haber sido presentados por usted mismo o por una pieza de software (es decir, un antivirus para la inspección de SSL). En mi caso solo hubo uno que no reconocí y lo desactivé de inmediato.fuente