ویندوز 7 هنوز بعد از حذف از فروشگاه cert گواهی معتبر را نشان می دهد

من با گواهینامه های خودمختار برای TLS (شبکه بسته) به اطراف مراجعه می کنم. من به طور موقت یک مورد را به مجوز صدور گواهینامه معتبر ریشه در ویندوز 7 اضافه کردم، و سپس تأیید کرد که آن را هنگامی که دو بار کلیک کرده بود، به عنوان مورد اعتماد نشان دادم و یا از کروم برای بازدید از سایت با استفاده از cert استفاده کردم.

وقتی cert را از فروشگاه cert حذف کردم، انتظار داشتم دوباره آن را به عنوان غیرقابل اعتماد نشان دهم. با این حال، هنوز هم به نظر می رسد که ویندوز اعتماد cert، حتی پس از راه اندازی مجدد سیستم. چه چیزی می دهد؟

گواهینامه ها – نحوه اضافه کردن یک CA سفارشی به androids پوشه ریشه سیستم مورد اعتماد

از آندروید 7.0 هیچ گواهی سفارشی توسط برنامه های آندروید استفاده نمی شود. توسعه دهندگان برنامه باید به طور خاص کدهای نوشته و تنظیمات برنامه را تغییر دهند تا یک CA سفارشی را دنبال کنند.

اما در حال تست کردن گواهی در محیط UAT سخت است. به عنوان یک راه حل من می خواستم گواهی CA سفارشی از ابزار پروکسی (burp یا ZAP) را به پوشه سیستم androids اضافه کنم.

چگونه این کار را انجام دهیم؟ کدام پوشه گواهی باید کپی شود؟ من از شبیه ساز استفاده می کنم. پس راهی برای انجام این کار بدون رندر شبیه سازی وجود دارد؟

Ref: اولین پاسخ این سوال

گواهی – چگونه می توانم به یک سایت اینترانت اعتماد کنم

من کاملا با کار با pki کار جدیدی دارم و چند روز تلاش کردم تا بدانم که چگونه محیط زیست را به درستی پیکربندی کنم (سنتوس 6).

یک گروه دیگر در داخل سازمان من، فایلهای زیر را از یک واسطه CA.

.p12
پیمان
.key

.p12 حاوی قلم و کلید شخصی من است که با رمز محافظت شده است. من قادر به استفاده از این دو فایل با استفاده از کتابخانه درخواست پایتون برای برقراری ارتباط با سرور؛ با این حال، تلاش می کند تا سرور خود را شکست دهد.

در تلاش برای تایید سرور خود، سرور خود را با استفاده از مرورگر خود صادر کرد. من آن را در تمام دایرکتوری های صحیح گذاشتم و update-ca-trust extract را اجرا کردم و فایل با موفقیت به فروشگاه اعتماد اضافه شد، اما تلاش برای تأیید سرور خود هنوز ناکام است.

من کاملا مطمئن نیستم که من اشتباه می کنم، اما اساسا پیام های مختلفی از کتابخانه openssl و کتابخانه های درخواستی python دریافت می کنم که گواهی نمی تواند تایید شود.

آیا در اینجا چیزی از آشکارا وجود دارد؟

احراز هویت مبتنی بر گواهی نامه

آیا سیستم های تأیید هویت گواهینامه می تواند در حمله MITM بر روی WiFi کنار گذاشته شود؟ من فقط به یک سرویس به نام REMME نگاه کردم و فکر میکردم که چقدر امن است.

برخی از نظر کارشناسان را در این مورد مورد نیاز است.

TLS – چگونه می توانم یک مرورگر را برای رد کردن گواهی پروکسی MITM برای وب سایت من آموزش دهم

آیا راهی برای گفتن یک مرورگر، مانند Chrome وجود دارد، برای رد کردن یک
  جایگزین گواهی MITM مانند آنهایی که توسط پروکسی شرکت استفاده می شود
  سرورها

به طور کلی، شماره

پاسخ آن به ترتیب با ترکیبی از مرورگر و سیستم عامل متفاوت است – چه چیزی برای فروشگاه اعتبار مورد استفاده قرار می گیرد و اینکه آیا شما حق دارید که آن را تنظیم کنید. اما مرورگرها به حساب اعتماد خود برای کنترل اینکه کدام CA اعتماد دارند، به راه اندازند و راه های قابل تنظیم را برای لغو این فروشگاه اعتماد ارائه ندهند. شما ممکن است بتوانید با فروشگاه trust آشنا شوید، اما مرورگر برای رفع لایه های جداگانه ای از کنترل استفاده نمی کند.

اجازه دهید کروم را در ویندوز به عنوان مثال انتخاب کنیم. در ویندوز، کروم از مدیر گواهینامه ویندوز برای تعیین آنچه که CA CA های معتبر استفاده می کند استفاده می کند. اگر سرپرست سیستم شما پروکسی شرکتی را در آنجا قرار داده و مجوزهای محلی خود را برای حذف آن نداشته باشید، نمیتوانید بگویید Chrome به آن اعتماد ندارد

(اگر دارای امتیازات اداری هستید و آن را حذف کنید احتمالا خط مشی شرکت شما را نقض خواهد کرد به طوری که ممکن است منجر به ختم شود؛ علاوه بر این احتمالا مجددا به طور خودکار در 15 دقیقه یا بیشتر دوباره اعمال خواهد شد.)

فایرفاکس به صورت پیش فرض به استفاده از اعتبار فروشگاه مبتنی بر نمایه محلی به شما توانایی بیشتری برای اصلاح آن را می دهد (اما دوباره این کار ممکن است یک جریمه شلیک باشد، زیرا شما فعالانه کنترل شرکت ها را از بین می برید). در واقع یک پرچم برای ایجاد فایرفاکس در CA از مدیر گواهینامه در ویندوز وجود دارد که در این راستا به منظور ساده تر کردن زندگی آن مدیرانی که سیاست شرکت شما را بر عهده دارند، ساده تر می شود. من نیز روش های پیچیده ای را دیده ام (به عنوان مثال، بازنویسی فروشگاه اعتماد فایرفاکس به صورت برنامه ریزی شده)، استفاده می شود تا آن را مانند یک ابزار سازمانی اداره کند.

من می ترسم اگر شاید کروم راهی برای شکست که

نه و چون گواهینامه ها عمیق در حال پردازش هستند، حتی یک API وجود ندارد که بتواند اجازه دهد فرمت ها با آن آشفته شوند. (که به نوعی عمدی است – دلایلی است که فروشگاههای اعتباری در معرض آسیب زدن قرار می گیرند)

یا حداقل آن را زمانی که این اتفاق می افتد بیشتر می کند.

شما می توانید از چیزی مانند گسترش اطلاعات گواهی به راحتی استفاده کنید هنگام ورود به یک سایت جدید یا حساس، بررسی دستی را انجام دهید. این به سرعت به شما می گوید که اگر شما برای این اتصال به MITM مشغول هستید و شما را قادر می سازد تا انتخاب کنید که آیا باید ادامه دهید یا نه.

(فقط با کلیک بیشتر می توانید همین کار را با مرورگر معمولی انجام دهید).

با نگاه کردن به کد آن extension، احتمالا شما می توانید آن را برای ارائه یک پرچم مخصوص رنگی (BLACK!) بفرستید وقتی یک CA خاص که نگران آن هستید استفاده می شود. ساختن این تغییر به عنوان یک تمرین برای خواننده باقی مانده است:


من نمی توانم به اندازه کافی تأکید کنم که توانایی فنی برای دور زدن کنترل ها نباید با حق رفع کنترل ها اشتباه گرفته شود و ممکن است که آنها با آنها سر و کار داشته باشند. به عنوان مثال، هر دو معمولا "منطقی استفاده شخصی محدود" را در نظر می گیرند – پس از ورود به تامین کننده مراقبت های بهداشتی یا بانک خود از استثنائات لازم است که به دلایلی معتبر صورت گیرد – سپس با استناد به IT و HR درباره ایجاد استثنا برای این سایت ها صحبت کنید. اکثر پروکسی های MITM می توانند پیکربندی شوند تا سایت های فردی بتوانند از طریق un-intercepted عبور کنند.

و اگر آنها استثنائی را انجام ندهند، از کار آنها را مرور نکنند یا مکان کاری پیدا کنند که از حق خود استفاده نکنند برای نظارت.