مجوز گواهینامه – حذف CA های غیر قابل اعتماد از فایرفاکس

برو به about: preferences # privacy ، به پایین زیر «گواهینامهها» بروید، روی «مشاهده گواهینامهها» کلیک کنید، سپس به برگه «مقامات» بروید.

هر یک از مجوزهای گواهینامه را انتخاب کنید می خواهم بی اعتماد باشم، سپس روی دکمه «حذف یا عدم اطمینان» کلیک کنید.

 Firefox CA trusted screen

به نظر نمی رسد راهی ساده برای بازگرداندن اعتماد به یک ساخته شده در CA باشد، به طوری که ممکن است بخواهید در مورد بی اعتمادی به CA های ساخته شده توجه بیشتری داشته باشید – به ویژه، همه CA شناخته شده نامهای صادر کننده را به خوبی شناخته اند: به عنوان مثال، "بگذار رمزگذاری" توسط "گروه تحقیقات امنیت اینترنت" صادر شود، بنابراین بی اعتمادی به " ISRG Root X1 "گواهی بی اعتمادی به" رمزگذاری را "بی اعتبار می کند (خوب، آنها متقاضی می شوند، بنابراین کار را ادامه خواهند داد مگر اینکه شما نیز IdenTrust را مورد اعتماد قرار دهید، که همچنان مشابه آن مربوط نیست …)

TLS – نیاز به پردازش گواهینامه از 2 CA مختلف در سراسر 1 اتصال

من یک اتصال HTTPS واحد دارم
من از SSL / TLSv1.2 استفاده می کنم

ما در حال تغییر به CA جدید هستیم. برای موقت، من می خواستم CA قدیمی و CA جدید را در پرونده CA من پیوست کنم. جدید cert را برای CA جدید بارگذاری کنید.
بنابراین، در حال حاضر من 2 گواهی. 1. CA قدیمی، 2. CA جدید و هر دو CA با cert root آنها پیوست شده است.

به نظر می رسد که این باعث می شود TLS به تعطیل و پردازش در روشن باشد.

چگونه می توانم از آن حمایت کنم؟

گواهینامه ها – نحوه اضافه کردن یک CA سفارشی به androids پوشه ریشه سیستم مورد اعتماد

از آندروید 7.0 هیچ گواهی سفارشی توسط برنامه های آندروید استفاده نمی شود. توسعه دهندگان برنامه باید به طور خاص کدهای نوشته و تنظیمات برنامه را تغییر دهند تا یک CA سفارشی را دنبال کنند.

اما در حال تست کردن گواهی در محیط UAT سخت است. به عنوان یک راه حل من می خواستم گواهی CA سفارشی از ابزار پروکسی (burp یا ZAP) را به پوشه سیستم androids اضافه کنم.

چگونه این کار را انجام دهیم؟ کدام پوشه گواهی باید کپی شود؟ من از شبیه ساز استفاده می کنم. پس راهی برای انجام این کار بدون رندر شبیه سازی وجود دارد؟

Ref: اولین پاسخ این سوال

مرد در وسط – چرا مرورگرها اجازه می دهد CA های سفارشی ریشه؟

یکی از دلایل اصلی اجازه دادن به CA CA سفارشی برای توسعهدهنده وب است. Dev و تست ساخت اغلب از گواهی در خانه استفاده می کنند (عمدتا برای هزینه و سهولت خلق). به شما امکان اضافه کردن CA ریشه خود را نمی دهد (بیشتر) حالت های مختلف به عنوان مثال خود را dev / build و تولید است که می تواند سخت برای تعمیر اشکالات تولید کند.

همچنین پروکسی شرکت، به عنوان یک شرکت (در اکثر قوانین ) مسئولیت آنچه شما با اینترنت انجام می دهید، اغلب از مردی در وسط استفاده می کنند، که در عین حال اخلاقی مشکوک است، عمدتا قانونی است و انتظار می رود.

یکی دیگر از دلایلی که نمی تواند یک کد root CA را مرتفع کند، این است که به شما اجازه حذف آن را ندهید اعتماد دیگران (شاید آنها تحت کنترل اداره ای باشند که اعتماد نکنید، شاید اخیرا کلید را نابود کرده اند و غیره) به طور مستقل از توجه مرورگر خود نسبت به آنها.

از کجا برای دریافت گواهینامه ریشه CA کجاست؟

آیا مکان مشترک وجود دارد که ما می توانیم تمام مراجع CA ریشه را دانلود کنیم و به روز رسانی های مکرر برای تغییرات را دریافت کنیم؟ این یک مکان است که ما می توانیم CA ها را پیدا کنیم، اما ما باید برای به روزرسانی ها باقی بمانیم. آیا مکان مشترک دیگری از این وجود دارد؟