Armazenamento de chaves corrompido (SSL) / detecção de certificados SSL falsos

1

Aviso de isenção de responsabilidade: Sou novo no SSL, achei um pouco confuso e preciso de uma resposta um pouco rápida.

Foi-me dito que havia o perigo de que meu "keystore" fosse corrompido, por isso estou tentando examiná-lo e dar sentido a ele. Estou usando o Arch Linux.

Eu vejo muita coisa divertida em /etc/ssl/certs (e suponho que a questão # 1 seja ", é isso que o 'keystore' é?"), mas essa lista se tornou muito mais sensata quando eu passei por readlink -f e removeu duplicatas. Parece que todos os meus certificados são de /usr/share/ca-certificates/ . A maior parte deles está no subdiretório mozilla/ , mas há outros subdiretórios, como:

brazil.gov.br/
cacert.org/
debconf.org/
gouv.fr/
signet.pl/
spi-inc.org/

Meu principal problema é que não sei como identificar um certificado suspeito. Simplesmente ir a esses sites parece ser contra-intuitivo (ou seja, eles podem ter o mesmo malware que potencialmente corrompeu meu keystore em primeiro lugar).

ca-certificates é um pacote instalado pelo meu gerenciador de pacotes; Eu poderia apenas purgar e reinstalar? É seguro fazer isso?

ATUALIZAÇÃO:

O problema que levou a essa investigação foi um certificado VeriSign não reconhecido. Especificamente, recebi uma assinatura com um certificado que eu não tinha (e presumivelmente deveria) ter e confiar.

Eu encontrei esta página no site da VeriSign que lista um monte de certificados: link ... e então comecei a verificar as impressões digitais dos certificados que instalei contra aqueles no site.

for cert in /etc/ssl/certs/Veri[Ss]ign*; do
    printf "%s: " $cert
    openssl x509 -noout -in $cert -fingerprint
done

O resultado: Um não corresponde. Também parece importante: "CA primária pública da classe 1 da VeriSign".

Complicações: Meu gerenciador de pacotes me diz que minha soma de verificação de certificados existente está bem. Além disso, a impressão digital no certificado que eu deveria ter corresponde a nenhuma a que eu tenho nem a que está listada no site da VeriSign.

    
por koschei 27.07.2011 / 20:02

1 resposta

0

Certificados emitidos para entidades finais (por exemplo, servidor da web) por uma CA geralmente são emitidos por meio de uma CA intermediária (também conhecida como cadeia). Há várias razões para isso. Era muito comum quando as CAs começavam a emitir certificados dessa maneira para os operadores do servidor falharem na instalação da CA intermediária, visitando usuários que não possuem uma cópia armazenada em cache (ou instalada) do certificado da cadeia em uma situação em que possuem a raiz cert e o certificado EE, mas não há como conectá-los. Isso é muito menos comum hoje em dia, mas pode ser o problema que você está enfrentando - é isso ao visitar um servidor público - se for esse o caso, procurarei por você. Você sempre pode dar uma olhada no issuerName do certificado EE que você não pode verificar e ver se você pode encontrar um certificado 'intermediário CA' correspondente no site da VeriSign .. se assim você deve ser capaz de verificar o EE com o intermediário e o intermediário com a raiz.Se você estiver fazendo isso manualmente, eu sugiro que você faça a validação cert também - OCSP é suportado pela VeriSign em todas as suas ACs ... a maioria (todas?) CAs premium sobre essa forma de tempo real / quase real validação de tempo ... caso contrário, o melhor seria CRLs.

    
por 18.08.2011 / 21:14