Windows має внутрішній список неудаляемых кореневих сертифікатів

В Windows, згідно https://technet.microsoft.com/en-us/library/dn265983(v=ws.11).aspx оновлення кореневих сертифікатів здійснюється з допомогою Certificate Trust List — CTL. Хоча зі статті випливає, що це якась примочка для кешування списку сертифікатів на локальному сервері, пошук послужливо підказує, що існує http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab, підписаний Microsoft, якому Windows, починаючи з 7, беззастережно довіряє, і оновлює його кожні 2 тижні, а у разі встановлення особливого оновлення кожен день.
В консолі (MMC) можна додати сертифікати, до яких немає довіри, а ось видалити кореневий сертифікат не так то просто.

Надихнувшись недавнім скандалом з об'єднанням WoSign і StartCom, вирішив видалити якийсь стрьомний сертифікат з Windows 7. Вибір припав на IZENPE S. A. (ea 56 4f ec 3c 83 a1 14 88 78 81 b2 2b 05 22 c0 07 41 5b 42), бо баски та SHA-1. Але не тут-то було. Після видалення кореневого сертифіката і заходу на https://www.izenpe.com з Chrome 55.0.2883.87 m сертифікат з'явився у списку сторонніх кореневих центрів сертифікації, і, відповідно, у списку довірених кореневих сертифікатів. Що, в принципі, очікувано.
Google Chrome attempts to use the root certificate store of the транспортний operating system to determine whether an SSL certificate presented by a site is indeed trustworthy, with a few exceptions.
https://www.chromium.org/Home/chromium-security/root-ca-policy
Повторити трюк з Firefox 50.1.0 не вийшло, ті використовують всередині браузера своє сховище сертифікатів. З Internet Explorer 11.0.9600.18163 трюк повторюється.
Здавалося б, знайдені винуватці. Але немає, беремо https://opensource.apple.com/source/security_certificates/security_certificates-55036/roots/Izenpe-RAIZ2007.crt і відкриваємо через Розширення оболонки шифрування, тобто подвійним клацанням.
І бачимо, що сертифікат довірений.
Це як взагалі? Заходимо в консоль і бачимо, що злощасний сертифікат є у списку довірених кореневих центрів сертифікації.
А може, Windows невідомі кореневі сертифікати підтягує в довірена сховище? Беремо OpenSSL, генеруємо кореневий сертифікат, відкриваємо. Недоверенный.
А я вже розкатав губу, що вдасться підписувати своїм CA сертифікати для гитхаба. Хоча жодна з записів реєстру, описана у статті на technet не існує за замовчуванням у Windows 7, ні в Windows Server 2012, по всьому видно, що є захардкоженный список довірених сертифікатів, не видимий ні в реєстрі, ні в групових політиках, ні в консолі управління.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.