Сертификаты DigiNotar, как предполагается, присутствуют в Firefox в чистой установке?
Просто установленный LTS Ubuntu 18.04, и замеченный в Mozilla Firefox 70.0.1 (64-разрядный), два странных сертификата, которые позвонили в звонок по некоторым причинам. Не желая доверять где-нибудь в сети для получения информации в случае, если я - MiTM, на которую нападают, кто-либо может подтвердить, как ли эти два сертификата, предполагается, присутствуют на чистой установке?
- Корень DigiNotar CA
- DigiNotar PKIoverheid CA Organiste - G2
Рис. присоединил:
1 ответ
Да, эти сертификаты, как предполагается, там, точно потому что DigiNotar не защищен. Позвольте мне объяснить.
история является немного замысловатой: DigiNotar был голландским центром сертификации. В 2011 люди натыкались на мошеннические сертификаты, которые были выпущены DigiNotar. Дальнейшее исследование показало, что системы компании были взломаны и поставлены под угрозу. Предполагается, что намерение взломщика состояло в том, чтобы выполнить нападение на MitM на некоторых пользователей Gmail в Иране с мошенническими сертификатами.
После того, как нарушение было обнаружено, голландское правительство приняло операции DigiNotar. Немного позже компания гибла. Корневые сертификаты DigiNotar отменялись и блокировались Mozilla, Google и т.д.
Так, почему Firefox все еще поставляется с сертификатами DigiNotar? Это - то, что Вы могли бы назвать "блокирующимися сертификатами". У них нет никакого, доверяют себе, таким образом, они не могут передать, любой доверяет любым другим сертификатам вниз цепочку доверия. Из-за этого Firefox не будет доверять никаким сертификатам, в которых говорится, "Доверяйте меня, потому что DigiNotar подписал меня". И потому что "блокирующиеся сертификаты" там, никакие новые корневые сертификаты для DigiNotar (который был бы очевидно нечестен), может быть установлен, также.