Удалить все корневые центры сертификации из настроек Google Chromes SSL?

3480
cringe

После аварии с помощью diginotar я хочу удалить все существующие корневые центры сертификации из моей установки Google Chrome. Можно ли как-то удалить предустановленные настройки корневого ЦС?

Диалог настроек не позволяет мне удалить его в данный момент:

enter image description here

1
Каждый обновил свои хранилища корневых сертификатов, чтобы удалить DigiNotar. Вы чрезмерно реагируете, и то, что вы хотите сделать, будет иметь противоположный эффект. Moab 12 лет назад 2
Мудрый пенни, глупый фунт. , , surfasb 12 лет назад 0

3 ответа на вопрос

4
grawity

В Linux сертификаты хранятся в базе данных только для чтения и будут появляться при обновлении Chromium. Однако вы можете пометить их как ненадежные, поскольку биты доверия хранятся отдельно как пользовательские настройки. Просто нажмите Edit ... ( Bearbeiten ... ) и отключите все три бита доверия.

Однако имейте в виду то, что сказали @nkvp и другие - это сделает вас менее защищенными, поскольку у вас не будет возможности проверить какой-либо сертификат, даже если рассматриваемый ЦС абсолютно безопасен. К сожалению, ни перспективы, ни конвергенция пока недоступны для Chrome, поэтому вы останетесь под вопросом в 100% случаев.

2
nkvp

Не стоит удалять все существующие корневые центры сертификации, поскольку будет очень трудно идентифицировать надежные сайты по поддельным сертификатам (все сертификаты ssl станут ненадежными, поэтому для всех сертификатов будут сгенерированы предупреждения),

Таким образом, атаки по принципу «человек посередине» будут легкими, поскольку пользователь, скорее всего, не сможет найти поддельные сертификаты, представленные на сайте.

То есть нет способа удалить CA? cringe 12 лет назад 0
@cringe: есть способ. Прекратите использовать HTTPS. Бум, нет необходимости в CA. surfasb 12 лет назад 1
2
Paul

Chrome использует хранилище SSL Windows, поэтому вам просто нужно удалить их из окна «Свойства обозревателя» в Windows.

Я хотел бы повторить то, что было сказано в комментариях. Это принципиально глупая вещь, так как у вас не будет возможности проверить, является ли какой-либо сайт законным, если вы не проверите вручную каждый сертификат. Их недостаточно для просмотра, вам нужно убедиться, что открытый ключ для CA правильный.

Похожие вопросы