用搜索引擎很难找到解释,所以我在这里问和回答。
Seahorse、Gnome 密钥环和密钥管理器在“显示任何”打开时在“默认信任”选项卡下显示几个带有全空白字段的可疑证书:
目前尚不清楚他们来自哪里,他们是什么,或者他们如何去那里。它们是否代表安全风险?我被黑了吗?
AskOverflow.Dev
用搜索引擎很难找到解释,所以我在这里问和回答。
Seahorse、Gnome 密钥环和密钥管理器在“显示任何”打开时在“默认信任”选项卡下显示几个带有全空白字段的可疑证书:
目前尚不清楚他们来自哪里,他们是什么,或者他们如何去那里。它们是否代表安全风险?我被黑了吗?
在 Seahorse 问题跟踪器上有一个问题 #299。
TL;DR:这些是在您的发行版的根 CA 列表中标记为保护您的不受信任的证书。海马不能很好地处理这些。这是一个外观问题,而不是安全问题。
长版
多年来,已经发生了多起 CA 证书被滥用(黑客攻击、不负责任地使用等)的事件。由于您的浏览器信任这些 CA 颁发的任何证书,因此这些证书在安全性方面受到了严重损害。
为了保护您免受中间人攻击,这些证书包含在您的发行版的证书列表中,并明确标记为列入黑名单/拒绝/无效。
大多数发行版都从 Mozilla 上游维护的列表中获取列表,作为nss 项目的一部分。
这种不良证书的一个例子是作为 Trustwave争议的一部分的证书问题。这是标记这些证书不受信任的 Mozilla问题。
如果您查看 mozilla 文件,您会看到有一个名为“Trustwave 颁发的 MITM subCA 1”的条目,它被标记为不受信任。
这个和其他几个示例显示为
(null)seahorse,因为它们包含足够的信息以忽略它们,但不包括实际的 CA 证书。所以,海马以这种奇怪的方式展示它们。对应于空证书的 7 个条目是:
您可以使用您最喜欢的搜索引擎来了解更多关于这些背后的故事(还有 DigiNotar 和 Comodo),并了解 CA 信任系统实际上被破坏的严重程度。
在 Fedora 上,CA 证书列表(源自 mozilla 文件)位于
/usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit)。我曾尝试在他们的 Gitlab 上向 seahorse 开发人员报告此问题,但在 16 个验证码、30 分钟和一个 insta-block 后放弃了。
链接: