在Windows下按Windows+ R, 輸入certmgr.msc,在“受信任的根證書頒發機構”-“證書中”找到“ROOTCA”,截止日期2025/08/23,單擊右鍵,屬性,可以檢視其屬性“禁用此證書的所有目的”。
點【隻啟用下列目的】,可以檢視根證書可以對計算機有哪些操作:
未經使用者許可偷偷添加根證書信任是非常嚴重的行為!
關鍵點在未經使用者許可,這種行為好比,你請某寶到你家來做客,結果他把你家的鑰匙給偷偷配了一把。
作為XXX,請求使用者信任其頒發的證書,是合理的!
但是偷偷的跟使用者的保安說,這使用者是我的哥們兒,以後我介紹的人你就不要盤問了,這種行為怎麼說都不為過。
如圖自己頒發給自己的證書,這樣一看就是假的沒有一點公證性。
證書這貨到底是什麼東西:
在早期的網際網路時代,我們的網站、軟體,都是依賴于我們自己的信任而使用的。
例如我有一套遊戲的安裝程式,你從我這邊拷貝過去,然後安裝玩。你之是以認為這個程式能夠安裝遊戲而不是把你的硬碟格了,完全是依賴于我告訴你的。
網站也是同理,我知道http://cmbchina.com這個位址是招商銀行,是因為招行營業廳的MM告訴我的,我信任營業廳的這個MM。
這種信任是非常薄弱和糟糕的,病毒、木馬就是在這種環境下肆虐橫行。你從我這邊拷貝的遊戲安裝程式,可能已經被病毒侵襲,它當然還是可以安裝遊戲,但同時也會安裝病毒!
營業廳的MM有可能是招行的員工,也可能是個賣保險的。盡管她大概不會給我一個釣魚的網站,但是經常會給我推銷一些完全用不到的保險啥的。
信任鍊。
拿剛才的例子來說,你從我這邊拷貝了一份遊戲的安裝程式。信任鍊是這樣的:
你信任我,我是你的朋友,我沒必要害你
我信任賣CD光牒的,他是個賣CD光牒的,沒必要給我裝病毒
賣CD光牒的信任刻CD光牒的
刻CD光牒的信任下載下傳的網站
下載下傳的網站信任上傳的使用者
上傳的使用者信任分發該份拷貝的盜版組織
…………
對于流氓行為我該怎麼做?
對于這種沒有節操的行為,最好的辦法就是把他們永遠的封印起來,讓他們永不超生。
打開Windows運作,然後輸入mmc回車,
此時會看到一個智能控制台的界面:
<img data-rawheight="559" data-rawwidth="966" src="https://s2.51cto.com/images/blog/202207/19164906_62d67002574cd8207.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=" class="origin_image zh-lightbox-thumb" width="966" data-original="https://pic3.zhimg.com/4e874168c538e4c34955a6031e838466_r.jpg">
選擇檔案菜單中的添加/删除管理單元功能。
在彈出的視窗中找到證書,并添加。
在彈出來的界面上選擇本地計算機賬戶:
<img data-rawheight="537" data-rawwidth="620" src="https://s2.51cto.com/images/blog/202207/19164906_62d670026d8e696620.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=" class="origin_image zh-lightbox-thumb" width="620" data-original="https://pic3.zhimg.com/8917c2e6b6d5fd609f23832a5143d512_r.jpg">
完成後,在受信任的根證書頒發機構中,找到這個臭流氓:
把它拖拽到不信任的證書下面的證書檔案夾去。。。。。
然後他就不能再耍流氓了,,,,
神馬是根證書頒發機構?
證書頒發機構和域名一樣,是一個樹狀的結構,全球有為數不多的幾個根證書頒發機構。這些根證書頒發機構輕易不頒發證書,因為一旦根證書頒發機構的證書被洩漏,所有直接間接的證書,都會受到嚴重的影響。
是以,根證書頒發機構一般授權二級證書頒發機構頒發證書,一旦信任一個根證書頒發機構,等同于信任其下所有頒發的所有證書,以及其授權的二級證書頒發機構頒發的所有證書。
更為嚴重的事情是,根證書頒發機構,是整個證書頒發體系中,唯一不受任何身份驗證的。其身份的正确性,由其自行保證!也就是說,根證書頒發機構可以宣稱自己是任何一個公司,沒有任何人群組織可以對其進行審查!
1、注入一個根證書不過是能發起中間人攻擊,危害不大。
HTTP SSL加密隻是證書的其中一個用途!證書在現代網際網路和作業系統中的應用會越來越廣泛,在可預見的将來,所有的程式、郵件、文檔,全部都會使用證書加密,確定其在傳輸、分發過程中,不被篡改。确認發行者的身份。
事實上三大智能手機平台的應用,就是用證書來確定分發不被篡改的。
2、注入根證書頒發機構是為了自己的加密用途,是合理的。
事實上,某寶的網站,有合法的被信任的證書(上面有截圖),是以沒有必要自行頒發證書。并且,如果是自行加密用途,可以在伺服器記錄公鑰私鑰即可。并沒有必要頒發證書來完成安全用途。
還有所舉的那些銀行網站,都是一堆沒有節操的公司。招行就沒有安裝任何證書,我使用招行專業版好好的。
證書具體有些什麼用途?
HTTP SSL加密(即HTTPS協定)是證書目前最為廣泛的一個用途。通過伺服器SSL證書的身份驗證,我們可以确認我們通路的伺服器是正确的網站。涉及到資金和帳号的網站,一般都使用HTTPS協定,例如某寶、網上銀行、Google登入等。
同時,HTTP SSL加密可以確定浏覽器與伺服器之間的通信,不被任何第三方竊取和監聽。這保障使用者資料的安全,是以Gmail目前已經全面使用HTTPS協定。
中間人攻擊,僅僅是根證書污染可能造成的威脅之一,也是上次CNNIC證書加入到根證書中人們所最擔心的事情。
簡單來說,中間人攻擊的主要目的是竊取HTTPS傳輸過程中的内容。
具體的做法是通過網絡劫持(網絡營運商非常容易做到,如電信聯通),在使用者與目标網站之間加設代理伺服器。由于HTTP協定傳輸過程中是不加密的,是以可以竊取所有傳輸的資料并進行篡改。
事實上電信一直在幹這事兒,莫名其妙的電信廣告彈窗就是這樣冒出來的。
但由于HTTPS協定使用了證書對傳輸過程進行了加密,并且對伺服器進行身份驗證,是以簡單的網絡劫持加設代理便宣告無效。
但如果此時,由某個使用者信任的根證書頒發機構,給這個加設的代理伺服器進行身份認證,并提供傳輸加密。那麼使用者通過HTTPS協定通路網站時不會有任何的異樣,而以為是安全的。
是以CNNIC根證書為什麼會受到廣泛的質疑,就是因為這個機構和中國電信是一個窩的。故而大家非常擔心他會串通電信進行中間人攻擊。
釣魚網站僞造,盡管中間人攻擊可以直接竊取使用者傳輸的内容,如帳号密碼,但是中間人攻擊仍然需要對網絡進行攻擊來加塞代理伺服器。
而僞造一個釣魚網站,例如什麼http://1cbc.com.cn則簡單的多。證書頒發機構可以可以确認這個網站的身份,即使你對這個釣魚網站存疑,但是如果浏覽器告訴你這個網站是安全的,你會怎麼做呢?
僞造程式簽名,證書不僅僅可以确認網站的身份,以及進行傳輸的加密,也可以确認應用程式釋出者的身份,并讓你信任它。
這是一個經過簽名的應用程式請求系統權限的時候的提示:
<img data-rawheight="289" data-rawwidth="466" src="https://s2.51cto.com/images/blog/202207/19164906_62d67002d0d9412919.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=" class="origin_image zh-lightbox-thumb" width="466" data-original="https://pic1.zhimg.com/345e9b8d05dbfe7ed7cef4960fa0a500_r.jpg">
可以看到,與上面某寶的控件請求系統權限不同,這個提示的底色已經變成了藍色,表示這是作業系統信任的一個程式,點選檢視證書資訊,我們可以看到這個應用程式的證書:
<img data-rawheight="667" data-rawwidth="484" src="https://s2.51cto.com/images/blog/202207/19164907_62d670030e27653481.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=" class="origin_image zh-lightbox-thumb" width="484" data-original="https://pic4.zhimg.com/93972ea67f4657833a348df86ea34cd7_r.jpg">
這個證書可以確定這個應用程式是由Disc Soft Ltd公司釋出的,并且沒有被任何第三方篡改過。這意味着,這個程式包含病毒的可能性取決于Disc Soft Ltd這個公司的節操。當然一般國外軟體公司的節操我還是信得過的。是以我可以放心的點選是。
而這個Disc Soft Ltd公司的身份驗證,則是由上面的根證書頒發機構來确認的。