Может ли простое посещение веб-сайта выдвинуть корневой центр сертификации как доверенный на мой компьютер?

379
SherlockEinstein

Это дополнительный вопрос к этому другому вопросу, который касается решения Google начать не доверять конкретному сертификату Symantec Root CA. Microsoft, с другой стороны, еще не приняла (пока) никакого решения относительно этого сертификата Root CA, и он все еще присутствует на моем компьютере с Windows 7.

Обновление: вот изображение сертификата Root CA с моей машины. Отпечаток пальца здесь совпадает с отпечатком версии MD2 (SHA-1) в сертификате корневого центра сертификации, опубликованном Google в их сообщении в блоге :

74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2

Root CA Cert, что Google планирует не доверять

Допустим, я удаляю сертификат со своего ПК, но затем перехожу (используя, скажем, IE v.11) к некоторому веб-сайту, который идентифицирует себя с помощью этого сертификата.

Может ли простой переход на этот сайт привести к отправке сертификата в мои сертификаты "Trusted Root CA"?

4
Нет; Если вы поместите сертификат в хранилище сертификатов Windows таким образом, что это означает, что вы ему не доверяете, это отменит способность Chrome доверять ему аналогичным образом (Google) может на самом деле выбрать, что вы ему не доверяете, несмотря на тот факт, что вы доверяете ему с тех пор, как Chrome обрабатывает ретровацию сертификатов иначе, чем IE или Edge в Windows Ramhound 8 лет назад 0
Спасибо @Ramhound за то, что указал на это. Я рассматривал это как вариант (потому что это было предложено в ответах на мой связанный вопрос), но я хотел проверить, что может произойти, если вместо этого я сразу удалил сертификат. SherlockEinstein 8 лет назад 0
что произойдет, зависит от того, удаляете ли вы корневой CA, подписавший Symantec CA. Ramhound 8 лет назад 0
@Ramhound, Symantec CA в этом вопросе является корневым CA (он не имеет никаких других сертификатов над собой в цепочке сертификатов). Так что этот вопрос конкретно об удалении этого корневого центра сертификации. SherlockEinstein 8 лет назад 0
Это должен быть другой сертификат, потому что я вспоминаю вопросы о Symantec CA Cert, но он не был корневым, но да, как и в Chrome, в самой Windows есть список доверенных и недоверенных сертификатов, но вы можете указать, что ему нельзя доверять, если вы переместитесь удаление его из списка ненадежных машин не приведет к тому, что его не будут обмануты Ramhound 8 лет назад 0
@Ramhound, спасибо за ваш вклад, возможно, лучше всего переместить его в список ненадежных сертификатов. SherlockEinstein 8 лет назад 0

2 ответа на вопрос

6
John Blatz

Absolutely. As this root certificate is part of the Windows Trust List, the mere act of browsing to such a site (even as a non-admin user) would cause the certificate to be automatically and silently added to your machine trust store. See this blog post for more info and a test site: http://hexatomium.github.io/2015/08/29/why-is-windows/

Кроме того, как хорошо объяснено в связанном блоге: это не ограничивается браузерами Microsoft, но также происходит при использовании Chrome в Windows. Arjan 8 лет назад 0
0
Zoredache

If we ignore the possibility of some malware infect your system and adding the cert. Or you manually clicking on a certificate warning and adding some the cert.

Then the answer is that no. Browsers do not automatically add Root certificates to your certificate store while browsing. That would be a huge security problem.

Root Certs are normally added by either

  • Browsers updates
  • OS updates.
В случае, если вы пропустили это: посмотрите новый ответ Джона. Arjan 8 лет назад 1
Windows делает это. И это противоречит интуиции. Смотрите ответ Джона ниже. StackzOfZtuff 8 лет назад 0

Похожие вопросы