Könnte ein bloßer Besuch einer Website eine vertrauenswürdige Stammzertifizierungsstelle auf meinen PC übertragen?

494
SherlockEinstein

Dies ist eine Folgefrage zu dieser anderen Frage, in der es um die Entscheidung von Google geht, einem bestimmten Symantec Root-CA-Zertifikat zu misstrauen. Andererseits hat Microsoft (noch) keine Entscheidung über dieses Root-CA-Zertifikat getroffen, und es ist immer noch auf meinem Windows 7-Computer vorhanden.

Update: Hier ist ein Bild des Root-CA-Zertifikats von meinem Computer. Der Fingerabdruck hier ist der gleiche wie der Fingerabdruck der Version MD2 (SHA-1) auf dem Zertifikat der Stammzertifizierungsstelle, das von Google in seinem Blogeintrag veröffentlicht wurde :

74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2

Root CA Cert that Google plans not to trust

Nehmen wir an, ich lösche das Zertifikat von meinem PC, browse aber später (unter Verwendung von IE v.11) zu einer Website, die sich selbst mit diesem Zertifikat identifiziert.

Kann durch das einfache Durchsuchen dieser Site das Zertifikat an meine "Trusted Root CA" -Zertifikate übertragen werden?

4
Nein; Wenn Sie das Zertifikat so in den Windows-Zertifikatsspeicher stellen, dass es nicht vertrauenswürdig ist, wird die Möglichkeit, dass Chrome es auch vertrauen kann, außer Kraft gesetzt (Google). Es kann tatsächlich entschieden werden, dem Zertifikat nicht zu vertrauen, obwohl Sie es seitdem vertrauen Chrome behandelt Zertifikatsumbuchungen anders als IE oder Edge unter Windows Ramhound vor 8 Jahren 0
Danke an @Ramhound für den Hinweis. Ich hatte dies als Option in Betracht gezogen (weil dies in den Antworten auf meine verknüpfte Frage vorgeschlagen wurde), aber ich wollte prüfen, was passieren könnte, wenn ich stattdessen das Zertifikat vollständig löschte. SherlockEinstein vor 8 Jahren 0
Was passieren würde, hängt davon ab, ob Sie auch die Stammzertifizierungsstelle löschen, die die Symantec-Zertifizierungsstelle signiert hat. Ramhound vor 8 Jahren 0
@Ramhound, die Symantec-Zertifizierungsstelle in dieser Frage ist die Stammzertifizierungsstelle (in der Zertifizierungskette befinden sich keine weiteren Zertifikate über sich). Bei dieser Frage geht es also speziell um das Löschen dieser Stammzertifizierungsstelle. SherlockEinstein vor 8 Jahren 0
Es muss sich um ein anderes Zertifikat handeln, da ich mich an Fragen zu Symantec CA Cert erinnere. Es war zwar nicht das oberste Root-Verzeichnis, aber genau wie Chrome. Windows selbst enthält eine Liste vertrauenswürdiger und nicht vertrauenswürdiger Zertifikate. Sie können jedoch ausdrücklich angeben, dass Sie dem Zertifikat nicht vertrauen, wenn Sie umziehen Wenn Sie die Liste der nicht vertrauenswürdigen Maschinen entfernen, würde dies nicht dazu führen, dass sie nicht gelöscht wird Ramhound vor 8 Jahren 0
@ Ramhound, danke für deine Eingabe, das Verschieben in die Liste nicht vertrauenswürdiger Zertifikate ist wahrscheinlich die beste Option. SherlockEinstein vor 8 Jahren 0

2 Antworten auf die Frage

6
John Blatz

Absolut . Da dieses Stammzertifikat Teil der Windows-Vertrauensliste ist, würde das bloße Durchsuchen einer solchen Site (selbst als Benutzer ohne Administratorberechtigung) dazu führen, dass das Zertifikat automatisch und unbemerkt dem Vertrauensspeicher der Maschine hinzugefügt wird. Weitere Informationen und eine Testseite finden Sie in diesem Blogeintrag: http://hexatomium.github.io/2015/08/29/why-is-windows/

Nebenbei gesagt, wie im verlinkten Blog erklärt: Dies ist nicht auf Microsoft-Browser beschränkt, sondern geschieht auch bei Verwendung von Chrome unter Windows. Arjan vor 8 Jahren 0
0
Zoredache

Wenn wir die Möglichkeit ignorieren, dass Malware Ihr System infiziert und das Zertifikat hinzufügt. Oder Sie klicken manuell auf eine Zertifikatswarnung und fügen das Zertifikat hinzu.

Dann lautet die Antwort nein. Browser fügen Ihrem Zertifikatsspeicher beim Durchsuchen nicht automatisch Stammzertifikate hinzu. Das wäre ein großes Sicherheitsproblem.

Stammzertifikate werden normalerweise von beiden hinzugefügt

  • Browser-Updates
  • Betriebssystem-Updates.
Falls Sie es verpasst haben: Sehen Sie Johns neue Antwort. Arjan vor 8 Jahren 1
Windows macht das. Und es ist gegenläufig intuitiv. Siehe Johns Antwort unten. StackzOfZtuff vor 8 Jahren 0

Verwandte Probleme