Sertifikaadid on kinnitus selle kohta, et teile saadetav sõnum on originaal ja mitte rikutud. Loomulikult on olemas meetodeid, mis võltsdavad kinnitusi nagu Lenovo SuperFishi sertifikaat - ja räägime sellest mõne aja pärast. See artikkel selgitab mis on root-sertifikaadid Windowsis ja kui peaksite neid uuendama - kuna Windows näitab neid alati mittekriitiliste värskendustena.
Kuidas toimib avaliku võtme krüptograafia?
Enne Root-Sertifikaatide rääkimist peate vaatama, kuidas krüptograafia toimib veebivestluste, veebisaidi ja brauserite vahel või kahe isiku vahel sõnumite kujul.
Välja on mitmeid krüptograafia tüüpe, millest kaks on olulised ja mida kasutatakse laialdaselt erinevatel eesmärkidel.
- Sümmeetriline krüptograafia kasutatakse siis, kui teil on võti ja ainult seda võtit saab kasutada sõnumite krüptimiseks ja dekrüpteerimiseks (enamasti kasutatakse e-posti teel)
- Asümmeetriline krüptograafia, kus on kaks klahvi. Üks neist klahvidest kasutatakse sõnumi krüptimiseks, kui teist klahvi kasutatakse sõnumi dekrüpteerimiseks
Avalik võtme krüptograafia on avalik ja privaatvõti. Sõnumeid saab dekodeerida ja krüpteerida, kasutades mõlemat kahest. Mõlema võtme kasutamine on kommunikatsiooni lõpuleviimiseks hädavajalik. Avalik võti on kõigile nähtav ja seda kasutatakse selleks, et veenduda, et sõnumi päritolu on täpselt sama, nagu tundub olevat. Avalik võtme krüpteerib andmed ja saadetakse avaliku võtme saajale. Abisaaja dekrüpteerib andmed, kasutades eraklahvi. Usalduslik suhe on loodud ja suhtlus jätkub.
Nii avalik kui ka privaatvõti sisaldavad teavet Sertifikaadi väljaandev asutus nagu EquiFax, DigiCert, Comodo jne. Kui teie operatsioonisüsteem peab sertifikaadi välja andnud asutust usaldusväärseks, saadetakse sõnumeid brauseri ja veebisaitide vahel edasi-tagasi. Kui on tuvastatud probleem sertifikaadi väljastava asutuse tuvastamisel või kui avalik võti on aegunud või rikutud, näete sõnumit Veebisaidi sertifikaadiga on probleem.
Nüüd räägime avaliku võtme krüptograafiast, see on nagu pankrott. Sellel on kaks võtmenüüd - üks filiaalihalduriga ja üks vaate kasutajaga. Vatikett avaneb ainult siis, kui neid võtmeid kasutatakse ja sobitatakse. Samamoodi kasutatakse avaliku ja privaatvõtme loomisel mis tahes veebisaidil.
Mis on Windowsi rootedokumendid?
Juhtnäitajad on sertifikaatide esmane tase, mis ütleb brauserile, et side on ehtne. See teave, mida teatis on ehtne, põhineb sertifitseerimisasutuse tuvastamisel. Teie Windowsi operatsioonisüsteem lisab usaldusväärsetena mitu juur sertifikaati, nii et teie brauser saab seda veebisaitidega suhtlemiseks kasutada.
See aitab ka brauserite ja veebisaitide vahelise side krüpteerimisel ja automaatselt selle alusel muud sertifikaate, kehtib. Seega on sertifikaadil palju filiaale. Näiteks kui Comodo sertifikaat on installitud, on see tipptaseme sertifikaat, mis aitab veebibrauseritel veebisaite krüptitud viisil suhelda. Sertifikaadina on filiaalil Comodo ka e-posti sertifikaadid, mida brauserid ja e-posti kliendid saavad automaatselt usaldama, sest operatsioonisüsteem on märkinud juur sertifikaadi usaldusväärseks.
Juhtimissertifikaadid määravad kindlaks, kas tuleks avada veebisaidiga suhtlemise seanss. Kui veebibrauser läheneb veebisaidile, annab see veebisaidile avaliku võtme. Brauser analüüsib võtit, et näha, kes on sertifikaadi väljaandev asutus, kas asutus on usaldusväärne vastavalt Windowsile, sertifikaadi kehtivusaeg (kui see sertifikaat on endiselt kehtiv) ja sarnased asjad enne veebisaidiga suhtlemise alustamist. Kui midagi on ebaõige, saate hoiatuse ja teie brauser võib blokeerida kogu suhtluse veebisaidiga.
Teisest küljest, kui kõik on korras, saadab sõnum sõnumi ja brauser võtab selle vastu, kui suhtlemine juhtub. Iga sissetuleva sõnumiga kontrollib brauser ka oma isikliku võtmega sõnumi, et näha, et see ei ole pettusõnum. See vastab ainult siis, kui see suudab dekrüpteerida sõnumit oma isikliku võtme abil. Seega on kommunikatsiooni jätkamiseks vajalikud mõlemad võtmed. Veelgi enam, kogu side edastatakse krüpteeritud režiimis.
Fake Root Sertifikaadid
On juhtumeid, kus ettevõtted, häkkerid jt on püüdnud kasutajaid peksma. Hiljutine juhtum, kus kehtetu sertifikaat on usaldusväärne rootina, teeb veel vooru. See oli "SuperFish" sertifikaat Lenovo arvutitel. Superfish reklaamvara installis juursertifikaadi, mis näis olevat õigustatud ja võimaldas brauseritel jätkata sidepidamist veebisaitidega. Kuid krüpteerimissüsteem oli nii nõrk, et seda oleks võimalik kergesti juurde lisada.
Lenovo sõnul soovib ta suurendada kasutajate ostukogemust ja selle asemel avastab oma privaatsed andmed häkkeritele internetis. Need privaatsed andmed võivad olla kõike, sh krediitkaarditeave, sotsiaalkindlustuse number jne. Kui teil on Lenovo masin, veenduge, et teil ei ole reklaamvara installitud, kontrollides teie brauserites usaldusväärseid sertifikaate. Kui see on olemas, värskendage ja käitage Windows Defender sertifikaadist vabanemiseks. Samuti on Lenovo vabastatud automaatne eemaldamise tööriist.
Võite kontrollida allkirjastamata või ebausaldusväärseid Windowsi rootkoodeid, kasutades root-sertifikaatide skannerit või SigCheckit.
Järeldus
Juhtimissertifikaadid on olulised, et teie brauserid saaksid veebisaitega suhelda. Kui kustutate kõik usaldusväärsed sertifikaadid, teete uudishimu või hoidke end turvaliselt, saate alati teate, et olete ebatõenäoline ühendus. Võite alla laadida usaldusväärsed juur sertifikaate kaudu Microsoft Windowsi rootkoodide programm, kui arvate, et teil pole kõiki õigeid juurdesertifikaate.
Mõni aja pärast peate alati kontrollima mittekriitilisi värskendusi, et näha, kas juursertifikaatide jaoks on saadaval värskendusi. Kui jah, siis laadige need alla ainult Windowsi värskenduse kaudu, mitte kolmandate osapoolte saitidelt.
Samuti on võltsitud sertifikaadid, kuid tõenäosus, et saate võltsitud tõendeid, on piiratud - ainult siis, kui teie arvuti tootja lisab selle loendisse usaldusväärsetest juur sertifikaatidest, nagu Lenovo tegi, või kolmanda osapoole veebisaitidelt juhendusertifikaate laadides. Parem on jääda Microsoftile ja laseb tal administraatoritel juur sertifikaate asemel käituda, et neid installida kõikjal Internetist. Samuti saate vaadata, kas juurutõendit usaldatakse, avamisel ja otsingu käivitamisel sertifikaadi väljastava asutuse nimes. Kui asutus tundub olevat mainekas, saate seda installida või seda säilitada. Kui te ei saa välja tõendada väljaandva asutuse, on see parem eemaldada.
Nädalat või kahte näeme, kuidas juhtida Trusted Root-sertifikaate.