none
Корневые сертификаты установленные в системе. Вопрос безопасности. RRS feed

  • Вопрос

  • Доброго времени суток.

    Есть ли где-то на сайте microsoft официальный список всех корневых сертификатов а также промежуточных, которые устанавливаются в системе по умолчанию? Для того чтобы сверить не появилось ли чего лишнего.

    Это на самом деле очень серьёзный вопрос безопасности поскольку браузер к примеру будет доверять любому сертификату сервера, подписанного корневым сертификатом.

    Заметил случайно вот такой вот сертификат у себя непонятно откуда и каким образом появившийся:

    Да и вообще какова политика микрософт добавления корневых сертификатов по умолчанию? Как выбираются поставщики? Хотелось бы видеть описание каждого корневого и промежуточного сертификата чей он, какой организации, ссылки на ресурсы этой организации и прочее. Думаю это вполне уместно, поскольку это вопрос БЕЗОПАСНОСТИ. Такой официальный список реально необходим. Хотя бы для того чтобы сверить свои текущие списки.

    30 октября 2014 г. 4:51

Ответы

  • 1) Можно ли где-то взять этот дефолтный CTL для Win7 к примеру или только вручную устанавливать чистую ОС и там смотреть? Почему не публикуются такие списки дефолтные микрософтом?

    Публикуются актуальные списки. Мне неизвестен способ (за исключением предложенного выше) посмотреть список, который идет вместе с дистрибутивом операционной системы 

    2) По защищенному соединению или нет The Update Root Certificates feature sends a request...? Это же реально вопрос безопасности! Если по обычному так это ж кто угодно может подменить этот список!

    Подменить не смогут, потому что CTL подписан на закрытом ключе Microsoft. И соответственно проверяется на сертификате Microsoft.

    30 октября 2014 г. 11:08
    Модератор
  • Например, здесь:

    http://msdn.microsoft.com/en-us/library/windows/desktop/aa376545(v=vs.85).aspx

    Абсолютно все обновления, распространяемые через Microsoft Update, имеют подпись Microsoft.

    30 октября 2014 г. 12:00
    Модератор

Все ответы

  • Начните поиск информации со ссылок, опубликованных в этой статье

    http://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx

    Кстати, в статье kb931125 описан механизм обновления корневых сертификатов в Windows 7 и других операционных системах.

    30 октября 2014 г. 7:36
    Модератор
  • Уже нашёл сам, спасибо за ссылку. Но вопрос ещё не решен.

    Вопрос: можно ли где-то найти дефолтный CTL(Certificate Trust List) для сверки? Тот что первоначально идёт с дистрибутивом ОС?

    Потому что я нашёл только список (в PDF-файле) Certification Authorities (CAs) которые являются членами Windows Root Certificate Program. Там только вендоры, не сертификаты. И насколько я понял механизм обновления предполагает, что корневые сертификаты будут добавляться по необходимости, если к примеру user заходит на какой-то сайт, а корневого сертификата нет в списке, но есть в  Microsoft list of trusted authorities.

    И кстати почему обновление списка корневых сертификатов происходит по незащищенному соединению http, судя по How Update Root Certificates Communicates with Sites on the Internet?

    а не к примеру по httpS?
    30 октября 2014 г. 9:22
  • Можно установить Windows 7 без обновлений и посмотреть содержимое контейнера  Trusted Root Certification Authorities

    В Windows 7 выполняется еженедельная проверка CTL на Microsoft Update. А также в ситуации, когда корневой сертификат не находится в локальном хранилище, проверяется Microsoft Update. Если там обнаруживается искомый сертификат, то происходит загрузка всего Certificate Trust List в контейнер Trusted Root Certification Authorities. Даже наблюдал, что для этого требуется определенное время, в течение которого Internet Explorer висит на загрузке защищенной веб-страницы. 

    30 октября 2014 г. 10:18
    Модератор
  • Всё - нашёл список сертификатов(CTL) в этом PDF-документе, невнимательно смотрел, там как раз SHA1 Thumbprint идентифицируют сертификат. И в принципе можно сверить по нему, если сертификат там из этого списка, то всё с ним в порядке, можно доверять. И дефолтный список даже не нужен, с ним неудобнее и новые root certs действительно нужные не проверишь.

    Но вопрос один остаётся: по защищенному соединению или нет The Update Root Certificates feature sends a request...? Это же реально вопрос безопасности! Если по обычному так это ж кто угодно может подменить этот список!



    • Изменено SergeyAK 30 октября 2014 г. 11:07
    30 октября 2014 г. 10:33
  • 1) Можно ли где-то взять этот дефолтный CTL для Win7 к примеру или только вручную устанавливать чистую ОС и там смотреть? Почему не публикуются такие списки дефолтные микрософтом?

    Публикуются актуальные списки. Мне неизвестен способ (за исключением предложенного выше) посмотреть список, который идет вместе с дистрибутивом операционной системы 

    2) По защищенному соединению или нет The Update Root Certificates feature sends a request...? Это же реально вопрос безопасности! Если по обычному так это ж кто угодно может подменить этот список!

    Подменить не смогут, потому что CTL подписан на закрытом ключе Microsoft. И соответственно проверяется на сертификате Microsoft.

    30 октября 2014 г. 11:08
    Модератор

  • Подменить не смогут, потому что CTL подписан на закрытом ключе Microsoft. И соответственно проверяется на сертификате Microsoft.

    Если подписан, то хорошо, странно вообще то если было бы иначе. А откуда инфа о том что подписан? :)


    • Изменено SergeyAK 30 октября 2014 г. 11:27
    30 октября 2014 г. 11:26
  • Например, здесь:

    http://msdn.microsoft.com/en-us/library/windows/desktop/aa376545(v=vs.85).aspx

    Абсолютно все обновления, распространяемые через Microsoft Update, имеют подпись Microsoft.

    30 октября 2014 г. 12:00
    Модератор