Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 30

Бекдор для АНБ? :)
Рейтинг скрыт
Бекдор для *
Рейтинг скрыт
Точно, и все сис.админы про это знают, особенно работающие на гос. и военком. структуры
Рейтинг скрыт
У них должен стоять сертифицированный дистрибутив, обновления к которому тоже проверяются.
Рейтинг скрыт
Это же известная фича, если я правильно понял описание. Windows по умолчанию установлена с небольшим количеством сертификатам в store и новые сертификаты берутся либо через Windows Update по необходимости, либо из ресурсов Crypt32.dll (например когда нет связи с Windows Update).
Рейтинг скрыт

Я просто думал, что вбандлены только 3 сертификата, ну и с десяток в хранилище, а оказалось что нет, вбандлены все из Root CA Program, плюс обновляться они могут как из WSUS при обновлении библиотеки, так и через authrootstl.cab.

Рейтинг скрыт
Разработчики Огнелиса весьма предусмотрительно создали и эксплуатируют собственное хранилище сертификатов.
Рейтинг скрыт
Которое использует и Node.js
Рейтинг скрыт

Это как вообще?

Рейтинг скрыт
If the 'ca' option is not given, then Node.js will use the default publicly trusted list of CAs as given in http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt.
Документация

Но уважаемые разработчики Node.js несколько лукавят, т.к. используют бандл, который вручную сами и правят.

Несколько странный уровень доверия, не так ли?

И только в недавнем пулл реквесте добавили опцию, для указания собственного (пользовательского) бандла.
Рейтинг скрыт

Вот именно, они собирают свой бандл. Который не обращается к хранилищу сертификатов браузера.

Рейтинг скрыт

Mozilla и The BAt в почтовиках делает точно так же — свои хранилища.
Я долго возился, когда внедрял корпоративные сертификаты и ЦА и удивлялся, что не все почтовые клиенты их видят по умолчанию, пока не полез достаточно глубоко в настройки чтобы обьяснить Mozilla TB что ему для почты надо использовать и системное хранилище сертификатов

Рейтинг скрыт
В линуксовых приложениях часто используют набор УЦ от Мозиллы. А свои хранилища ещё есть в JRE и WAS.
Рейтинг скрыт

Один раз имел с этим небольшой секс, везде работает, в лисе невалидный сертификат на одном из линков. И да, я тогда еще не знал, что у них свое хранилище.

Рейтинг скрыт
Автоматическое обновление можно отключить через ГП, также с ним при недоступности CDN и протухании CTL возможны интересные эффекты.
А тут исследователь ведёт список добавляемых сертификатов, у него вообще много интересного по теме.
Рейтинг скрыт
Ну так то предустановленные корневые сертификаты используются для проверки валидности ПО и драйверов для самой ОС. Что само по себе вполне рабочий вариант, не считая постоянных дырок для обхода этих проверок.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
Хром настучит при первом запуске и сертификат отзовут.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
В Хроме захардкожены сертификаты для некоторых сайтов (GMail, Paypal и т.п.) и при подмене сертификата публичным CA идёт уведомление.
Отзовёт сам Microsoft: наверняка реакция прописана в правилах CA/B Forum и из-за угрозы перехвата данных за пределами РФ.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
К счастью договорится с MS в наших реалиях проблематично. Но в наших казахских степях у большинства стоят корневые сертификаты местного центра. Без них не работает онлайн сервис всяких справок, а без него жизнь сильно усложняется.
Самое веселое — у всей страны один пароль на личный сертификат. Безопасность на уровне!
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь

Ну… при паранойе нижнего уровня, я бы сделал как-то так:


#!/bin/sh
#export HOME=/some/path
export profile="$HOME/some-profile-path"
exec firefox --profile "$profile" "$@"

Засунуть это в gosfirefox и сделать ему chmod +x… Затем добавить туда корневой сертификат местного центра и использовать этот "бандл" для работы с гос-сайтами.


Дефолтный firefox использовать для обычной жизни.


По мере роста параноидальности, можно разбавить:


  1. Убрать комментарий с экспорта HOME
  2. Запускать вообще от отдельного пользователя
  3. Запускать из chroot
  4. Виртуалки

  5. N. ..

А по поводу пароля… Его же вроде средствами OpenSSL поменять можно, не?

Рейтинг скрыт
Вы абсолютно правы, вариантов много и разных. Только вот большинство населения этим заниматься не будут ввиду отсутствия элементарных навыков. Правильнее было бы генерировать рандомный пароль для каждого выданного сертификата, а не 123456. Ой, кажется я допустил утечку государственного масштаба! =)
Рейтинг скрыт
Интересно, чем вам баски-то не угодили?
Рейтинг скрыт
Обновление корневых сертификатов можно отключить в компонентах Windows или в групповой политике.
https://technet.microsoft.com/en-us/library/cc734054(WS.10).aspx
Есть несколько required сертификатов, но в целом никаких секретных мест больше вроде бы нет. Но их тоже можно удалить. Вот список для старой ОС:
https://support.microsoft.com/en-us/help/293781/trusted-root-certificates-that-are-required-by-windows-server-2008-r2,-by-windows-7,-by-windows-server-2008,-by-windows-vista,-by-windows-server-2003,-by-windows-xp,-and-by-windows-2000
Рейтинг скрыт
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr