Pull to refresh

Comments 30

Точно, и все сис.админы про это знают, особенно работающие на гос. и военком. структуры
У них должен стоять сертифицированный дистрибутив, обновления к которому тоже проверяются.
Это же известная фича, если я правильно понял описание. Windows по умолчанию установлена с небольшим количеством сертификатам в store и новые сертификаты берутся либо через Windows Update по необходимости, либо из ресурсов Crypt32.dll (например когда нет связи с Windows Update).

Я просто думал, что вбандлены только 3 сертификата, ну и с десяток в хранилище, а оказалось что нет, вбандлены все из Root CA Program, плюс обновляться они могут как из WSUS при обновлении библиотеки, так и через authrootstl.cab.

Разработчики Огнелиса весьма предусмотрительно создали и эксплуатируют собственное хранилище сертификатов.
If the 'ca' option is not given, then Node.js will use the default publicly trusted list of CAs as given in http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt.
Документация

Но уважаемые разработчики Node.js несколько лукавят, т.к. используют бандл, который вручную сами и правят.

Несколько странный уровень доверия, не так ли?

И только в недавнем пулл реквесте добавили опцию, для указания собственного (пользовательского) бандла.

Вот именно, они собирают свой бандл. Который не обращается к хранилищу сертификатов браузера.

Mozilla и The BAt в почтовиках делает точно так же — свои хранилища.
Я долго возился, когда внедрял корпоративные сертификаты и ЦА и удивлялся, что не все почтовые клиенты их видят по умолчанию, пока не полез достаточно глубоко в настройки чтобы обьяснить Mozilla TB что ему для почты надо использовать и системное хранилище сертификатов

В линуксовых приложениях часто используют набор УЦ от Мозиллы. А свои хранилища ещё есть в JRE и WAS.

Один раз имел с этим небольшой секс, везде работает, в лисе невалидный сертификат на одном из линков. И да, я тогда еще не знал, что у них свое хранилище.

Автоматическое обновление можно отключить через ГП, также с ним при недоступности CDN и протухании CTL возможны интересные эффекты.
А тут исследователь ведёт список добавляемых сертификатов, у него вообще много интересного по теме.
Ну так то предустановленные корневые сертификаты используются для проверки валидности ПО и драйверов для самой ОС. Что само по себе вполне рабочий вариант, не считая постоянных дырок для обхода этих проверок.
UFO just landed and posted this here
Хром настучит при первом запуске и сертификат отзовут.
UFO just landed and posted this here
В Хроме захардкожены сертификаты для некоторых сайтов (GMail, Paypal и т.п.) и при подмене сертификата публичным CA идёт уведомление.
Отзовёт сам Microsoft: наверняка реакция прописана в правилах CA/B Forum и из-за угрозы перехвата данных за пределами РФ.
UFO just landed and posted this here
К счастью договорится с MS в наших реалиях проблематично. Но в наших казахских степях у большинства стоят корневые сертификаты местного центра. Без них не работает онлайн сервис всяких справок, а без него жизнь сильно усложняется.
Самое веселое — у всей страны один пароль на личный сертификат. Безопасность на уровне!
UFO just landed and posted this here

Ну… при паранойе нижнего уровня, я бы сделал как-то так:


#!/bin/sh
#export HOME=/some/path
export profile="$HOME/some-profile-path"
exec firefox --profile "$profile" "$@"

Засунуть это в gosfirefox и сделать ему chmod +x… Затем добавить туда корневой сертификат местного центра и использовать этот "бандл" для работы с гос-сайтами.


Дефолтный firefox использовать для обычной жизни.


По мере роста параноидальности, можно разбавить:


  1. Убрать комментарий с экспорта HOME
  2. Запускать вообще от отдельного пользователя
  3. Запускать из chroot
  4. Виртуалки

  5. N. ..

А по поводу пароля… Его же вроде средствами OpenSSL поменять можно, не?

Вы абсолютно правы, вариантов много и разных. Только вот большинство населения этим заниматься не будут ввиду отсутствия элементарных навыков. Правильнее было бы генерировать рандомный пароль для каждого выданного сертификата, а не 123456. Ой, кажется я допустил утечку государственного масштаба! =)
Интересно, чем вам баски-то не угодили?
Обновление корневых сертификатов можно отключить в компонентах Windows или в групповой политике.
https://technet.microsoft.com/en-us/library/cc734054(WS.10).aspx
Есть несколько required сертификатов, но в целом никаких секретных мест больше вроде бы нет. Но их тоже можно удалить. Вот список для старой ОС:
https://support.microsoft.com/en-us/help/293781/trusted-root-certificates-that-are-required-by-windows-server-2008-r2,-by-windows-7,-by-windows-server-2008,-by-windows-vista,-by-windows-server-2003,-by-windows-xp,-and-by-windows-2000
Sign up to leave a comment.

Articles