在Windows下按Windows+ R, 输入certmgr.msc,在“受信任的根证书颁发机构”-“证书中”找到“ROOTCA”,截止日期2025/08/23,单击右键,属性,可以查看其属性“禁用此证书的所有目的”。
点【只启用下列目的】,可以查看根证书可以对计算机有哪些操作:
未经用户许可偷偷添加根证书信任是非常严重的行为!
关键点在未经用户许可,这种行为好比,你请某宝到你家来做客,结果他把你家的钥匙给偷偷配了一把。
作为XXX,请求用户信任其颁发的证书,是合理的!
但是偷偷的跟用户的保安说,这用户是我的哥们儿,以后我介绍的人你就不要盘问了,这种行为怎么说都不为过。
如图自己颁发给自己的证书,这样一看就是假的没有一点公证性。
证书这货到底是什么东西:
在早期的互联网时代,我们的网站、软件,都是依赖于我们自己的信任而使用的。
例如我有一套游戏的安装程序,你从我这边拷贝过去,然后安装玩。你之所以认为这个程序能够安装游戏而不是把你的硬盘格了,完全是依赖于我告诉你的。
网站也是同理,我知道http://cmbchina.com这个地址是招商银行,是因为招行营业厅的MM告诉我的,我信任营业厅的这个MM。
这种信任是非常薄弱和糟糕的,病毒、木马就是在这种环境下肆虐横行。你从我这边拷贝的游戏安装程序,可能已经被病毒侵袭,它当然还是可以安装游戏,但同时也会安装病毒!
营业厅的MM有可能是招行的员工,也可能是个卖保险的。尽管她大概不会给我一个钓鱼的网站,但是经常会给我推销一些完全用不到的保险啥的。
信任链。
拿刚才的例子来说,你从我这边拷贝了一份游戏的安装程序。信任链是这样的:
你信任我,我是你的朋友,我没必要害你
我信任卖光盘的,他是个卖光盘的,没必要给我装病毒
卖光盘的信任刻光盘的
刻光盘的信任下载的网站
下载的网站信任上传的用户
上传的用户信任分发该份拷贝的盗版组织
…………
在早期的互联网时代,我们的网站、软件,都是依赖于我们自己的信任而使用的。
例如我有一套游戏的安装程序,你从我这边拷贝过去,然后安装玩。你之所以认为这个程序能够安装游戏而不是把你的硬盘格了,完全是依赖于我告诉你的。
网站也是同理,我知道http://cmbchina.com这个地址是招商银行,是因为招行营业厅的MM告诉我的,我信任营业厅的这个MM。
这种信任是非常薄弱和糟糕的,病毒、木马就是在这种环境下肆虐横行。你从我这边拷贝的游戏安装程序,可能已经被病毒侵袭,它当然还是可以安装游戏,但同时也会安装病毒!
营业厅的MM有可能是招行的员工,也可能是个卖保险的。尽管她大概不会给我一个钓鱼的网站,但是经常会给我推销一些完全用不到的保险啥的。
信任链。
拿刚才的例子来说,你从我这边拷贝了一份游戏的安装程序。信任链是这样的:
你信任我,我是你的朋友,我没必要害你
我信任卖光盘的,他是个卖光盘的,没必要给我装病毒
卖光盘的信任刻光盘的
刻光盘的信任下载的网站
下载的网站信任上传的用户
上传的用户信任分发该份拷贝的盗版组织
…………
对于流氓行为我该怎么做?
对于这种没有节操的行为,最好的办法就是把他们永远的封印起来,让他们永不超生。
打开Windows运行,然后输入mmc回车,
此时会看到一个智能控制台的界面:
选择文件菜单中的添加/删除管理单元功能。
在弹出的窗口中找到证书,并添加。
在弹出来的界面上选择本地计算机账户:
完成后,在受信任的根证书颁发机构中,找到这个臭流氓:
把它拖拽到不信任的证书下面的证书文件夹去。。。。。
然后他就不能再耍流氓了,,,,
神马是根证书颁发机构?
证书颁发机构和域名一样,是一个树状的结构,全球有为数不多的几个根证书颁发机构。这些根证书颁发机构轻易不颁发证书,因为一旦根证书颁发机构的证书被泄漏,所有直接间接的证书,都会受到严重的影响。
所以,根证书颁发机构一般授权二级证书颁发机构颁发证书,一旦信任一个根证书颁发机构,等同于信任其下所有颁发的所有证书,以及其授权的二级证书颁发机构颁发的所有证书。
更为严重的事情是,根证书颁发机构,是整个证书颁发体系中,唯一不受任何身份验证的。其身份的正确性,由其自行保证!也就是说,根证书颁发机构可以宣称自己是任何一个公司,没有任何人和组织可以对其进行审查!
1、注入一个根证书不过是能发起中间人攻击,危害不大。
HTTP SSL加密只是证书的其中一个用途!证书在现代互联网和操作系统中的应用会越来越广泛,在可预见的将来,所有的程序、邮件、文档,全部都会使用证书加密,确保其在传输、分发过程中,不被篡改。确认发行者的身份。
事实上三大智能手机平台的应用,就是用证书来确保分发不被篡改的。
2、注入根证书颁发机构是为了自己的加密用途,是合理的。
事实上,某宝的网站,有合法的被信任的证书(上面有截图),所以没有必要自行颁发证书。并且,如果是自行加密用途,可以在服务器记录公钥私钥即可。并没有必要颁发证书来完成安全用途。
还有所举的那些银行网站,都是一堆没有节操的公司。招行就没有安装任何证书,我使用招行专业版好好的。
证书具体有些什么用途?
HTTP SSL加密(即HTTPS协议)是证书目前最为广泛的一个用途。通过服务器SSL证书的身份验证,我们可以确认我们访问的服务器是正确的网站。涉及到资金和帐号的网站,一般都使用HTTPS协议,例如某宝、网上银行、Google登录等。
同时,HTTP SSL加密可以确保浏览器与服务器之间的通信,不被任何第三方窃取和监听。这保障用户数据的安全,所以Gmail目前已经全面使用HTTPS协议。
中间人攻击,仅仅是根证书污染可能造成的威胁之一,也是上次CNNIC证书加入到根证书中人们所最担心的事情。
简单来说,中间人攻击的主要目的是窃取HTTPS传输过程中的内容。
具体的做法是通过网络劫持(网络运营商非常容易做到,如电信联通),在用户与目标网站之间加设代理服务器。由于HTTP协议传输过程中是不加密的,所以可以窃取所有传输的资料并进行篡改。
事实上电信一直在干这事儿,莫名其妙的电信广告弹窗就是这样冒出来的。
但由于HTTPS协议使用了证书对传输过程进行了加密,并且对服务器进行身份验证,所以简单的网络劫持加设代理便宣告无效。
但如果此时,由某个用户信任的根证书颁发机构,给这个加设的代理服务器进行身份认证,并提供传输加密。那么用户通过HTTPS协议访问网站时不会有任何的异样,而以为是安全的。
所以CNNIC根证书为什么会受到广泛的质疑,就是因为这个机构和中国电信是一个窝的。故而大家非常担心他会串通电信进行中间人攻击。
钓鱼网站伪造,尽管中间人攻击可以直接窃取用户传输的内容,如帐号密码,但是中间人攻击仍然需要对网络进行攻击来加塞代理服务器。
而伪造一个钓鱼网站,例如什么http://1cbc.com.cn则简单的多。证书颁发机构可以可以确认这个网站的身份,即使你对这个钓鱼网站存疑,但是如果浏览器告诉你这个网站是安全的,你会怎么做呢?
伪造程序签名,证书不仅仅可以确认网站的身份,以及进行传输的加密,也可以确认应用程序发布者的身份,并让你信任它。
这是一个经过签名的应用程序请求系统权限的时候的提示:
可以看到,与上面某宝的控件请求系统权限不同,这个提示的底色已经变成了蓝色,表示这是操作系统信任的一个程序,点击查看证书信息,我们可以看到这个应用程序的证书:
这个证书可以确保这个应用程序是由Disc Soft Ltd公司发布的,并且没有被任何第三方篡改过。这意味着,这个程序包含病毒的可能性取决于Disc Soft Ltd这个公司的节操。当然一般国外软件公司的节操我还是信得过的。所以我可以放心的点击是。
而这个Disc Soft Ltd公司的身份验证,则是由上面的根证书颁发机构来确认的。