Chỉ để làm cho mọi thứ trở nên khó khăn, Linux có nhiều hơn một thư viện để làm việc với các chứng chỉ.
Nếu bạn đang sử dụng NSS của Mozilla, bạn có thể Tích cực Không tin cậy (thuật ngữ của họ) một chứng chỉ bằng tùy chọn của certutil-t trustargs
:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Đối với Firefox, <path to directory containing database>
thường là ~/.mozilla/firefox/<???>.profile
nơi <???>
có một số ký tự tìm kiếm ngẫu nhiên. (certutil là ví dụ: trong gói libnss3-tools của ubfox)
Sự cố như sau:
-M
sửa đổi cơ sở dữ liệu
-t p
đặt niềm tin thành Cấm
-n
để thực hiện các hoạt động trên giấy chứng nhận được đặt tên
Ngay cả trong NSS, không phải tất cả các ứng dụng đều có chung cơ sở dữ liệu; vì vậy bạn có thể phải lặp lại quá trình này Ví dụ: để thực hiện tương tự cho Chrome, hãy thay đổi -d <path>
thành -d sql:.pki/nssdb/
.
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Tuy nhiên, không phải tất cả các ứng dụng đều sử dụng NSS, vì vậy đây không phải là một giải pháp hoàn chỉnh. Ví dụ: tôi không tin có thể làm điều này với thư viện OpenSSL.
Do đó, bất kỳ ứng dụng nào sử dụng OpenSSL để cung cấp việc xây dựng chuỗi chứng chỉ (TLS, IPSec, v.v.) sẽ tin tưởng một chuỗi có chứng chỉ Blue Coat và bạn không thể làm gì về việc loại bỏ Root CA đã ký từ đó cửa hàng neo tin cậy của bạn (sẽ thật ngớ ngẩn khi coi đó là Symantec Root CA vì bạn sẽ mất một nửa Internet, trong khi các ứng dụng dựa trên NSS có thể được cấu hình chi tiết hơn để không tin tưởng bất kỳ chuỗi nào có chứng chỉ Blue Coat trong đó .
Ví dụ: tôi tin rằng OpenVPN sử dụng OpenSSL làm thư viện cho các chứng chỉ, do đó, người anh lớn có thể nghe lưu lượng OpenVPN của bạn mà bạn không biết nếu bạn đang kết nối với nhà cung cấp VPN thương mại sử dụng OpenVPN. Nếu bạn thực sự lo lắng về điều đó thì hãy kiểm tra xem Root CA của nhà cung cấp VPN thương mại của bạn là ai - nếu đó là Symantec / Verisign thì có lẽ đã đến lúc bỏ chúng cho người khác?
Lưu ý rằng SSH không sử dụng chứng chỉ X509 do đó bạn có thể kết nối và tạo đường hầm bằng SSH mà không phải lo lắng về các cuộc tấn công MITM của Blue Coat.