Listar e remover certificados de CA não oficialmente instalados -- google-chrome campo com security campo com ssl campo com certificates campo com privacy camp askubuntu Relacionado O problema

List and remove unofficially installed CA certificates


12
vote

problema

português

Este artigo expor como cerca de 18% das conexões HTTPs estão sendo detectadas como interceptadas por proxies mitm. Como o grande papel relacionado Estado:

.

Para contornar esta validação, o software local injetará um certificado de CA auto-assinado na loja raiz do navegador do cliente no tempo de instalação.
[...]
Ao contrário da crença generalizada, a chave pública fixando [19] - um recurso HTTPS Isso permite que os sites restrinjam conexões a uma chave específica - não impede essa interceptação. O Chrome, o Firefox e o Safari apenas aplicam as chaves fixadas quando uma cadeia de certificados termina em uma autoridade fornecida com o navegador ou sistema operacional. A validação extra é ignorada quando a corrente termina em uma raiz instalada localmente (i.e., um certificado de CA instalado por um administrador) [34].

é bastante comum Nas empresas , antivírus de desktop e malware / adware para adicionar raiz ca. Às vezes mesmo com razões honestas. Mas para tornar a situação mais clara : navegação da Web SSL é exatamente tão forte quanto a ca (Isso inclui DNS se L="Norreferer"> DNS-Over-https ).


Eu quero verificar se meu tráfego HTTPS é interceptado pelo menos em três aspectos (melhor se apenas com CLI):

  • google chrome / chromium
  • firefox ( chapéu vermelho equivalente ?)
  • ubuntu repositórios oficiais / snap (veja CA-Certificados < / a> & amp; CA-CACERT . Red Hat equivalente ?)

Então as questões reais são:

  • Como listar certificados de CA não oficialmente instalados (não vem com Ubuntu / Firefox / Chrome) para evitar ataques mitm / interceptação HTTPS?
  • Como redefinir lojas de certificados confiáveis ​​em seu padrão?

Algumas Pesquisa e questões relacionadas

  • checkmyhttps parece velho e não confiável
  • cromo : chrome://settings/certificates Este é um subconjunto do que retorna alguns desses comandos?

    # System wide (I) awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt # System wide (II) (`p11-kit` package) trust list
  • firefox

      certutil -L -d ~/.mozilla/firefox/*.default*/    
  • eu já abcdefghijklmnAbcdefghijklmn3 < / Código> . Isso apenas atualiza sem remover qualquer certificado já bloqueado?

Referência

  • cromo - política de certificado raiz
  • firefox: Como auditar & amp; Redefinir a lista de servidores confiáveis ​​/ CAS
  • Como posso me proteger contra o software instalando os certificados de raiz inseguros?
  • quem seu navegador confia e como controlá-lo
  • Todos os certificados raiz que o Firefox Trusts para SSL / TLS ( de )
english

This article expose how around 18% of HTTPS connections are being detected as intercepted by MITM proxies. As the great related paper state:

To circumvent this validation, local software injects a self-signed CA certificate into the client browserxe2x80x99s root store at install time.
[...]
Contrary to widespread belief, public key pinning [19]xe2x80x94 an HTTPS feature that allows websites to restrict connections to a specific keyxe2x80x94 does not prevent this interception. Chrome, Firefox, and Safari only enforce pinned keys when a certificate chain terminates in an authority shipped with the browser or operating system. The extra validation is skipped when the chain terminates in a locally installed root (i.e., a CA certificate installed by an administrator) [34].

Is pretty common on companies, desktop antivirus and malware/adware to add root CA. Sometimes even with honest reasons. But to make the situation more clear: SSL web browsing is exactly as strong as the weakest CA (this includes DNS if DNS-over-HTTPS).


I want to check if my HTTPS traffic is intercepted at least in three aspects (better if just with CLI):

  • Google Chrome/Chromium
  • Firefox (Red Hat equivalent?)
  • Ubuntu official repos/Snap (See ca-certificates & ca-cacert. Red Hat equivalent?)

So the real questions are:

  • How to list unofficially installed CA certificates (doesn't come with Ubuntu/Firefox/Chrome) to avoid MITM attacks/HTTPS interception?
  • How to reset trusted certificates stores to its default?

Some research and related questions

  • checkmyhttps seems old and not trustworthy
  • Chrome: chrome://settings/certificates this is a subset of what return some of these commands?

    # System wide (I) awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt  # System wide (II) (`p11-kit` package) trust list 
  • Firefox

    certutil -L -d ~/.mozilla/firefox/*.default*/ 
  • I already sudo update-ca-certificates -v -f. This just updates without removing any sneaky already installed certificate?

Reference

  • Chromium - Root Certificate Policy
  • Firefox: How to audit & reset the list of trusted servers/CAs
  • How can I protect myself against software installing insecure root certificates?
  • Who your browser trusts, and how to control it
  • All root certificates that Firefox trusts for SSL/TLS (from)
              
   
   

Lista de respostas

0
 
vote

dpkg -S somefile lhe dirá qual pacote Somefile pertence. Você pode usar dpkg --verify pkgname ou debsums para ver se eles foram modificados.

Você pode usar aqueles para verificar /etc/ca-certificates.conf e os diretórios que se refere - basicamente, verifique se os arquivos do CA pertencem ABCDEFGHIJKLMNABCDEFGHIJKLMN8 + ABCDEFGHIJKLMNABCDEFGHIJKLMN9 para escolheu entre eles. Como você pode ter adivinhado, ./uninstall.sh0 usa esses dados para recriar os arquivos Global CA Store.

Eu não tenho uma resposta fácil para lojas específicas do aplicativo, como o Chrome e o Firefox. Você basicamente começaria procurando por diretórios de configuração global, se houver ( ./uninstall.sh1 ) e, em seguida, analisar cada perfil de usuário para ver se CASs personalizados foram instalados nesse perfil: Olhe para os arquivos, Diff com um novo, verifique se a conta é gerenciada por corporação, ... StackOverflow ou superusuário pode ajudar mais diretamente.

Observação obrigatória: Instalando pacotes de terceiros não confiáveis ​​pode atrapalhar o sistema de várias maneiras (executar qualquer roteiro não confiável, realmente). Eu acho que a sua ainda é uma questão justa, já que o software benigno às vezes adiciona um CA e não tentará esconder o fato. No entanto, se você suspeitar que alguém pode ter modificado seu sistema por trás de suas costas, ele está muito mais seguro para reinstalar.

 

dpkg -S somefile will tell you what package somefile belongs to. You can use dpkg --verify pkgname or debsums to see if they have been modified.

You can use those to verify /etc/ca-certificates.conf and the directories it refers to -- basically, verify that CA files belong ca-certificates + dpkg-reconfigure -plow ca-certificates to chose among them. As you may have guessed, update-ca-certificates uses this data to recreate the global CA store files.

I don't have an easy answer for app-specific stores like Chrome's and Firefox's. You'd basically start by looking for global configuration directories, if any (dpkg -L), and then look into each user profile to see if custom CAs have been installed in that profile: look at the files, diff with a new one, check if the account is corporate-managed, ... StackOverflow or SuperUser can help more directly.

Obligatory note: installing packages from untrusted third parties can mess up the system in many ways (running any untrusted script, really). I think yours is still a fair question, since benign software sometimes adds a CA and won't try to hide the fact. However, if you suspect someone might have modified your system behind your back, it's far safer to reinstall.

 
 

Perguntas relacionadas

0  Onde é o Histórico de pesquisa armazenado no Firefox e como desativá-lo?  ( Where is search history stored in firefox and how to disable it ) 
Firefox armazena meu histórico de pesquisa, mas gostaria de saber exatamente o que está armazenando. Então, há um arquivo ou algo assim que essas entradas são...

2  É possível mudar o imei?  ( Is it possible to change the imei ) 
Eu estou querendo saber se há algo como MacChanger ou quais comandos / configuração podemos usar para alterar / spoofs o IMEI em telefones de toque. ...

8  É seguro usar um Ubuntu VM no Windows 10 de uma perspectiva de privacidade?  ( Is it safe to use an ubuntu vm on windows 10 from a privacy perspective ) 
Minha pergunta é basicamente no título - todos sabemos sobre a Bullcrap de telemetria que o Windows 10 vem e sobre a NSA espionando todos. Considerando todas ...

4  Como posso evitar que certos diretórios / arquivos apareçam no Dash da Unity?  ( How can i prevent certain directories files from appearing in unitys dash ) 
Esta questão pode parecer semelhante à seguinte para as quais as soluções são documentadas: como posso manter os arquivos recentes aparecerem em Unidade? ...

3  Bloqueio de pop-ups e anúncios  ( Blocking popups and ads ) 
Estou tendo uma briga com anúncios, pop-ups e cookies de rastreamento. Mas estou tendo alguns problemas. software usado: Chromium 18.0.1025.168 Extens...

54  Toda a entrada do traço em 12,10 será enviada para a Amazon?  ( Will all dash input in 12 10 be sent to amazon ) 
Parece que toda a entrada do usuário para a lente Home do DASH é enviar para a Amazon por padrão no Ubuntu 12.10, está correto? ...

2  Ativar WeBrtc no Firefox apenas para sites WhiteListed  ( Enable webrtc in firefox for whitelisted sites only ) 
Eu gostaria de ter webrtc geralmente bloqueado no meu navegador do Firefox, exceto para um pequeno conjunto de sites que eu confio e que precisam dessa funcio...

2  O Kuaipan Cloud Service fornece criptografia e como gerencia a privacidade?  ( Does kuaipan cloud service provide encryption and how does it manage privacy ) 
Procurando uma alternativa ao Ubuntuone, descobri que a distro chinesa oficial, Ubuntu Kylin , anunciou um serviço de nuvem do Kingsoft Kuaipan, com o seu ...

9  Existe uma maneira de parar o histórico de registro do Chrome / Firefox de um site "particular"?  ( Is there a way to stop chrome firefox record history of a particular website ) 
Eu quero o Chrome / Firefox não registrar o histórico de um site "particular". É possível fazê-lo? Eu procurei em preferências, mas não consegui encontrar uma...

1  Não é possível alterar as configurações no Ubuntu 18.04 (Screen Lock)  ( Cant change settings in ubuntu 18 04 screen lock ) 
Não posso alterar nenhuma configuração dentro Screen Lock porção como eles estão esmaecidos. As opções de configurações para outras categorias parece bem. ...




© 2022 pergunte.org All Rights Reserved. Casa de perguntas e respostas todos os direitos reservados


Licensed under cc by-sa 3.0 with attribution required.