題 檢查可疑(根CA)證書


我只是看著我的證書商店,看到一堆看起來有點可疑的根CA.特別是那些:

  • 有所有CAPS文本
  • 使用外語/文本
  • 有很長的失效日期
  • 包括每個證書目的

我堅信其中一些是不好的( 中級CA. 列表看起來乾淨,只有 根CA. 列表看起來很糟糕。)但是,商店裡有足夠的證書可以讓每個人都進行調查。 (我在事件日誌中看到Windows沒有自動更新受信任的第三方根列表超過兩週。)

有沒有人知道驗證證書和清除壞證書的方法(或者至少手動觸發更新)?


5
2018-03-14 18:40


起源


在平均時間,我 (1) 下載了最新的 CA更新, (2) 手動刪除 每個項目 從 每個部分 證書商店, (3) 停止 cryptsvc,刪除 catroot2,開始了 cryptsvc,和 (4) 應用了更新。希望可以找到一種不那麼焦土的方法,這樣合法的證書就不會像這樣被刪除,因為它們不包含在Mirosoft的更新中。 - Synetech
認為你有自己的答案。 - Belmin Fernandez
@ BeamingMel-Bin,它更像是解決方案而不是解決方案。我抨擊了整個事情,包括微軟不包括的有效證書。我正在尋找一個可以掃描或提交證書的程序或網站。 - Synetech
嗯,也許我誤解了你對“壞人”的意思,因為它都是基於信任。你的意思是說你相信有些人受到了損害(即私鑰在野外)?否則,似乎清理您當前的商店並添加您信任或信任的關聯(Microsoft信任和您自己的)是您唯一的選擇。 - Belmin Fernandez
我的意思是它看起來像一個 束 不好的方式已經在那裡偷偷摸摸,那些允許站點和文件不應該被信任的,因此有很長的過期日期和完整的權限。 - Synetech


答案:


你可以看看 Debian的證書列表,並清除不存在的那些;然後申請最新的 Microsoft CA更新 並添加手動安裝的那些。但正如Debian所說:

請注意證書頒發機構的證書頒發機構   此包中包含的內容未經過任何審核   可信賴性和RFC 3647合規性,以及全部責任   評估它們屬於本地系統管理員。


0
2017-08-28 10:34



我已經嘗試刪除所有證書並安裝最新更新,但它沒有幫助。 - Synetech