GNU/Linux >> Tutoriales Linux >  >> Linux

¿Desconfiar de una CA intermedia en Linux?

Solo para complicar las cosas, Linux tiene más de una biblioteca para trabajar con certificados.

Si usa el NSS de Mozilla, puede desconfiar activamente (su terminología) de un certificado usando -t trustargs de certutil opción:

$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"

Para Firefox, <path to directory containing database> suele ser ~/.mozilla/firefox/<???>.profile donde <???> son algunos personajes de aspecto aleatorio. (certutil está, por ejemplo, en el paquete libnss3-tools de ubuntu)

El desglose es el siguiente:

-M para modificar la base de datos

-t p para establecer la confianza en Prohibido

-n para realizar la operación en el certificado nombrado

Incluso dentro de NSS, no todas las aplicaciones comparten la misma base de datos; por lo que es posible que tenga que repetir este proceso. Por ejemplo, para hacer lo mismo con Chrome, cambie el -d <path> a -d sql:.pki/nssdb/ .

$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"

Sin embargo, no todas las aplicaciones usan NSS, por lo que esta no es una solución completa. Por ejemplo, no creo que sea posible hacer esto con la biblioteca OpenSSL.

Como consecuencia, cualquier aplicación que use OpenSSL para proporcionar su construcción de cadena de certificados (TLS, IPSec, etc.) confiaría en una cadena con un certificado de Blue Coat y no hay nada que pueda hacer al respecto, salvo eliminar la CA raíz que la firmó. su tienda ancla de confianza (lo que sería una tontería considerando que es una CA raíz de Symantec, ya que terminaría desconfiando de la mitad de Internet), mientras que las aplicaciones que dependen de NSS se pueden configurar de manera más granular para desconfiar de cualquier cadena que tenga el certificado Blue Coat dentro .

Por ejemplo, creo que OpenVPN usa OpenSSL como su biblioteca de certificados, por lo tanto, el hermano mayor podría estar escuchando su tráfico de OpenVPN sin su conocimiento si se está conectando a un proveedor de VPN comercial que usa OpenVPN. Si está realmente preocupado por eso, verifique quién es la CA raíz de su proveedor de VPN comercial; si es Symantec/Verisign, ¿quizás sea hora de deshacerse de ellos por otra persona?

Tenga en cuenta que SSH no utiliza certificados X509, por lo que puede conectarse y hacer un túnel mediante SSH sin preocuparse por los ataques MITM de Blue Coat.


Linux

  1. Cómo saber si está listo para cambiar de Mac a Linux

  2. 10 artículos para aprender Linux a tu manera

  3. Solución de problemas del error "Certificado TLS inaceptable" en Linux

  4. Hacer que los certificados de CA estén disponibles para las herramientas de línea de comandos de Linux

  5. Mis 5 imágenes favoritas de contenedores de Linux

10 maneras de empezar con Linux

Comando W en Linux

Al mando en Linux

Reseña del libro:La línea de comandos de Linux

Solución de problemas del error "Certificado TLS inaceptable" en Linux

Monitor de procesos bueno y liviano basado en GUI para Linux