Questão Armazenamento de chaves corrompido (SSL) / detecção de certificados SSL falsos


Isenção de responsabilidade: Sou novo no SSL, acho um pouco confuso e preciso de uma resposta um pouco rápida.

Disseram-me que havia o perigo de meu "keystore" ser corrompido, por isso estou tentando examiná-lo e dar sentido a ele. Estou usando o Arch Linux.

Eu vejo muita coisa divertida em /etc/ssl/certs (e suponho que a questão # 1 seja, "é isso que o 'keystore' é?"), mas essa lista se tornou muito mais sensata quando eu passei por tudo isso. readlink -f e removeu duplicatas. Parece que todos os meus certificados são de /usr/share/ca-certificates/. A maior parte deles está no mozilla/ subdiretório, mas existem outros subdiretórios como:

brazil.gov.br/
cacert.org/
debconf.org/
gouv.fr/
signet.pl/
spi-inc.org/

Meu principal problema é que não sei como identificar um certificado suspeito. Simplesmente ir a esses sites parece ser contra-intuitivo (ou seja, eles podem ter o mesmo malware que potencialmente corrompeu meu keystore em primeiro lugar).

ca-certificates é um pacote instalado pelo meu gerenciador de pacotes; Eu poderia apenas purgar e reinstalar? Isso é seguro para fazer?

ATUALIZAR:

A questão que motivou essa investigação foi um certificado VeriSign não reconhecido. Especificamente, recebi uma assinatura com um certificado que eu não (e presumivelmente deveria) ter e confiar.

Eu encontrei esta página no site da VeriSign que lista um monte de certificados: http://www.verisign.com/support/roots.html ... e então comecei a verificar as impressões digitais dos certificados que instalei contra aqueles no site.

for cert in /etc/ssl/certs/Veri[Ss]ign*; do
    printf "%s: " $cert
    openssl x509 -noout -in $cert -fingerprint
done

O resultado: Um não corresponde. Também parece importante: "CA primária pública da classe 1 da VeriSign".

Complicações: Meu gerenciador de pacotes me diz que minha soma de verificação de certificados existente está bem. Além disso, a impressão digital no certificado que eu deveria ter correspondências nem o que eu tenho nem o que está listado no site da VeriSign.


1


origem




Respostas:


Certificados emitidos para entidades finais (por exemplo, servidor da web) por uma autoridade de certificação são geralmente emitidos por meio de uma CA intermediária (também conhecida como cadeia). Há várias razões para isso. Era muito comum quando as CAs começavam a emitir certificados dessa maneira para os operadores do servidor falharem na instalação da CA intermediária, visitando usuários que não possuem uma cópia armazenada em cache (ou instalada) do certificado da cadeia em uma situação em que possuem a raiz cert e o certificado EE, mas não há como conectá-los. Isso é muito menos comum hoje em dia, mas pode ser o problema que você está enfrentando - é isso ao visitar um servidor público - se for esse o caso, procurarei por você. Você sempre pode dar uma olhada no issuerName do certificado EE que você não pode verificar e ver se você pode encontrar um certificado 'intermediário CA' correspondente no site da VeriSign .. se assim você deve ser capaz de verificar o EE com o intermediário e o intermediário com a raiz.Se você estiver fazendo isso manualmente, eu sugiro que você faça a validação cert também - OCSP é suportado pela VeriSign em todas as suas ACs ... a maioria (todas?) CAs premium sobre essa forma de tempo real / quase real validação de tempo ... caso contrário, a melhor seria CRLs.


0



Acontece que era, de fato, e certificado intermediário que eu esperava ter. - koschei