Czy samo odwiedzenie strony internetowej może wypchnąć główny zaufany urząd certyfikacji na mój komputer?

4

To pytanie uzupełniające do tego drugiego pytania , które dotyczy decyzji Google o rozpoczęciu nieufności do określonego certyfikatu głównego urzędu certyfikacji firmy Symantec. Z drugiej strony Microsoft nie podjął (jeszcze) żadnej decyzji dotyczącej tego certyfikatu głównego urzędu certyfikacji i nadal jest obecny na moim komputerze z systemem Windows 7.

Aktualizacja: Oto zdjęcie certyfikatu głównego urzędu certyfikacji z mojego komputera. Odcisk palca tutaj jest taki sam jak odcisk palca wersji MD2 (SHA-1) na certyfikacie głównego urzędu certyfikacji opublikowanym przez Google w poście na blogu :

74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2

Główny certyfikat CA, którego Google nie chce ufać

Powiedzmy, że usuwam certyfikat z komputera, ale później przeglądam (używając, powiedzmy, IE v.11), stronę internetową, która identyfikuje się za pomocą tego certyfikatu.

Czy zwykłe przejście do tej witryny może spowodować przekazanie certyfikatu do moich certyfikatów „Zaufany główny urząd certyfikacji”?

windows security trusted-root-certificates SherlockEinstein
źródło
Nie; Jeśli umieścisz certyfikat w magazynie certyfikatów systemu Windows w sposób wskazujący na to, że mu nie ufasz, co zastąpi możliwość, że Chrome może mu ufać, podobnie (Google) może faktycznie nie ufać mu pomimo faktu, że mu ufasz, ponieważ Chrome obsługuje odzyskiwanie certyfikatów inaczej niż IE lub Edge w systemie Windows
Ramhound,
Dzięki @Ramhound za zwrócenie na to uwagi. Rozważyłem to jako opcję (ponieważ sugerowano to w odpowiedziach na moje powiązane pytanie), ale chciałem sprawdzić, co może się stać, jeśli zamiast tego całkowicie usunę certyfikat.
SherlockEinstein,
to, co się stanie, zależy od tego, czy usuniesz również główny urząd certyfikacji, który podpisał urząd certyfikacji Symantec.
Ramhound,
@Ramhound, urząd certyfikacji Symantec w tym pytaniu jest głównym urząd certyfikacji (nie ma żadnych innych certyfikatów nad sobą w łańcuchu certyfikatów). To pytanie dotyczy w szczególności usunięcia tego głównego urzędu certyfikacji.
SherlockEinstein,
Musi to być inny certyfikat, ponieważ przypominam sobie pytania na temat certyfikatu CA firmy Symantec, ale nie był to główny katalog główny, ale tak jak Chrome, sam system Windows ma listę zaufanych i niezaufanych certyfikatów, ale możesz wyraźnie wskazać, aby nie ufać, jeśli się przeprowadzisz usunięcie go z listy niezaufanych maszyn nie spowodowałoby, że nie zostałby przywrócony
Ramhound

Odpowiedzi:

6

Absolutnie . Ponieważ ten certyfikat główny jest częścią Listy zaufania systemu Windows, samo przejście do takiej witryny (nawet jako użytkownik niebędący administratorem) spowoduje automatyczne i ciche dodanie certyfikatu do magazynu zaufania komputera. Zobacz ten post na blogu, aby uzyskać więcej informacji i stronę testową: http://hexatomium.github.io/2015/08/29/why-is-windows/

John Blatz
źródło
Na marginesie, jak to ładnie wyjaśniono w blogu z linkami: nie ogranicza się to do przeglądarek Microsoft, ale dzieje się tak również podczas korzystania z Chrome w systemie Windows.
Arjan
0

Jeśli zignorujemy możliwość zainfekowania systemu złośliwym oprogramowaniem i dodania certyfikatu. Lub możesz ręcznie kliknąć ostrzeżenie o certyfikacie i dodać trochę certyfikatu.

Zatem odpowiedź brzmi: nie. Przeglądarki nie dodają automatycznie certyfikatów głównych do magazynu certyfikatów podczas przeglądania. To byłby ogromny problem z bezpieczeństwem.

Certyfikaty główne są zwykle dodawane przez jedno z nich

  • Aktualizacje przeglądarek
  • Aktualizacje systemu operacyjnego.
Zoredache
źródło
1
Na wypadek, gdybyś go przegapił: zobacz nową odpowiedź Johna.
Arjan,
Windows to robi. I to jest sprzeczne z intuicją. Zobacz odpowiedź Johna poniżej.
StackzOfZtuff,