DigiNotar 证书是否应该在全新安装的 Firefox 中出现?
Tho*_*s L 16 firefox ssl certificates
刚刚安装了 Ubuntu 18.04 LTS,并注意到在 Mozilla Firefox 70.0.1(64 位)中,两个奇怪的证书由于某种原因敲响了警钟。不想信任网络上任何地方的信息以防我受到 MiTM 攻击,谁能确认这两个证书是否应该存在于全新安装中?
- DigiNotar 根 CA
- DigiNotar PKIoverheid CA Organiste - G2
附图:
Hen*_*eck 22
是的,这些证书应该在那里,正是因为 DigiNotar不值得信赖。让我解释。
故事有点复杂:DigiNotar 是荷兰的认证机构。2011 年,人们遇到了 DigiNotar 颁发的欺诈性证书。进一步的检查表明,该公司的系统已被破解和入侵。假设攻击者的意图是使用欺诈性证书对伊朗的一些 GMail 用户进行中间人攻击。
发现漏洞后,荷兰政府接管了 DigiNotar 的业务。不久之后,公司倒闭了。DigiNotar 的根证书被 Mozilla、Google 等公司吊销和屏蔽。
那么,为什么 Firefox 仍然附带 DigiNotar 证书?这些就是您可能所说的“阻止证书”。他们自己没有任何信任,因此他们无法将任何信任传递给信任链中的任何其他证书。因此,Firefox 不会信任任何写着“相信我,因为 DigiNotar 签署了我”的证书。并且由于存在“阻止证书”,因此也无法安装 DigiNotar 的新根证书(这显然是欺诈性的)。
- 荷兰政府接管了 DigiNotar,因为它是几乎所有荷兰政府和政府相关企业、许多非政府组织和 DigiID(==荷兰国家电子身份证系统)使用的唯一证书颁发机构。"PKIoverheid" Overheid == 荷兰语中的政府。接管后,他们迅速使所有现有证书失效并重新颁发,然后开始完全淘汰它们。荷兰政府长期以来一直在处理 ICT 项目方面表现不佳,但他们相对妥善且迅速地处理了这场危机。 (5认同)
- 要确认这一点,请选择其中一个证书并单击“查看...”;证书查看器应在顶部附近显示“无法验证此证书,因为它不受信任”。请参阅 [此 Mozilla 安全公告](https://www.mozilla.org/en-US/security/advisories/mfsa2011-35/) 和 [此 security.SE 问题](https://security.stackexchange.com/问题/174474/why-is-diginotar-ca-still-in-my-mozilla-firefox)。 (3认同)
| 归档时间: |
|
| 查看次数: |
1899 次 |
| 最近记录: |