Cómo estar seguro de que los certificados de confianza del portátil son seguros

Navega tus respuestas
1

Tengo un portátil con Windows 8.1 Lenovo. La aplicación del malvado Superfish y el certificado han sido eliminados. Mi computadora portátil tiene 36 certificados en certmgr.msc usuario actual \ autoridad de certificación raíz de terceros \ certificados.

¿Hay alguna manera de saber si un certificado puede ser malicioso o comprometido? Dado que los certificados son tan importantes para la seguridad, debe haber una forma para que un administrador se asegure de que los certificados de confianza en la PC del usuario sean seguros o no.

    
pregunta user584583 21.02.2015 - 18:55
fuente

2 respuestas

1

La mayoría de los certificados se actualizan a través del mecanismo de actualización disponible para el sistema. No puede estar seguro de que los certificados que se instalan con el navegador no se utilizan efectivamente para mitm. Por otro lado, podría escribir un pequeño script que use el modo de cliente openssl para recuperar los certificados x509 de objetivos basados en SSL y desde allí hacer una comparación con la firma del sitio entrante.

Esto no se escala muy bien sin embargo. También es posible que tenga en cuenta que, al menos en macosx, existe el cliente ocsp que también funciona para revocar certificados x509. El problema es tal que, una vez que haya instalado un certificado raíz no autorizado en su sistema, casi todo se puede falsificar, lo que incluye la descarga de cualquier solución a través de https. En el peor de los casos, puede descargar, al menos para Firefox, el conjunto de certificados que se instalan en el navegador y realizar una prueba rápida de corroboración. Pero sobre el mismo sistema roto? Arranque en un livecd, posiblemente ubuntu, y haga las descargas de esa manera.

Por favor, abrace a su pobre administrador de sistemas que tiene que confirmar si sus certificados están en orden.

    
respondido por el munchkin 21.02.2015 - 20:33
fuente
0

No existe tal cosa como un certificado seguro o inseguro . En ese sentido todos los certificados son iguales. Los certificados son solo de confianza. ¿Cuándo puede confiar en un certificado?
Puede realizar una investigación exhaustiva de quién está detrás (quién posee la clave privada correspondiente) cada uno de los 36 certificados y realizar una auditoría de sus políticas usted mismo. Sin embargo, la mayoría de las personas simplemente confían en Microsoft para tomar una decisión informada para los certificados preinstalados.

Para empeorar las cosas: un navegador como Firefox viene con su propio conjunto de certificados de raíz, por lo que ahora también debe confiar en Mozilla.

Lo mejor que puede hacer es comparar esa lista de certificados con la lista estándar de Microsoft (suponiendo que existe tal lista)

    
respondido por el Jeff 21.02.2015 - 20:06
fuente

Lea otras preguntas en las etiquetas

comunicación SSL entre un servidor C # y una aplicación de cliente Android ¿Debo verificar el archivo de instalación del hash de PGP?