刚刚安装了 Ubuntu 18.04 LTS,并注意到在 Mozilla Firefox 70.0.1(64 位)中,两个奇怪的证书因某种原因敲响了警钟。如果我受到 MiTM 攻击,不想信任网络上的任何地方获取信息,任何人都可以确认这两个证书是否应该存在于全新安装中?
- DigiNotar 根 CA
- DigiNotar PKIoverheid CA Organiste - G2
附图:
AskOverflow.Dev
是的,这些证书应该在那里,正是因为 DigiNotar不值得信赖。让我解释。
故事有点复杂:DigiNotar 是一家荷兰认证机构。2011 年,人们遇到了由 DigiNotar 颁发的欺诈性证书。进一步检查表明,该公司的系统已被破解并受到损害。假设攻击者的意图是使用欺诈性证书对伊朗的一些 GMail 用户进行中间人攻击。
发现违规行为后,荷兰政府接管了 DigiNotar 的运营。没多久,公司就倒闭了。DigiNotar 的根证书被 Mozilla、Google 等撤销和封锁。
那么,为什么 Firefox 仍然附带 DigiNotar 证书?这些就是您所说的“阻止证书”。他们自己没有任何信任,因此他们无法将任何信任传递给信任链上的任何其他证书。因此,Firefox 不会信任任何显示“相信我,因为 DigiNotar 签署了我”的证书。并且由于存在“阻止证书”,因此也无法安装 DigiNotar 的新根证书(这显然是欺诈性的)。