Könnte der bloße Besuch einer Website eine vertrauenswürdige Stammzertifizierungsstelle auf meinen PC übertragen?

4

Dies ist eine Folgefrage an diese andere Frage Hierbei handelt es sich um die Entscheidung von Google, einem bestimmten Symantec Root CA-Zertifikat zu misstrauen. Andererseits hat Microsoft (noch) keine Entscheidung über dieses Root-CA-Zertifikat getroffen, und es ist immer noch auf meinem Windows 7-Computer vorhanden.

Aktualisieren: Hier ist ein Bild des Root-CA-Zertifikats von meinem Computer. Der Fingerabdruck hier ist derselbe wie der Fingerabdruck der Version MD2 (SHA-1) auf dem Zertifikat der Stammzertifizierungsstelle, das von Google in veröffentlicht wurde ihr blog post :

74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2

Root CA Cert that Google plans not to trust

Nehmen wir an, ich lösche das Zertifikat von meinem PC, browse aber später (mit IE 11) zu einer Website, die sich selbst mit diesem Zertifikat identifiziert.

Kann durch das einfache Durchsuchen dieser Website das Zertifikat an meine "Trusted Root CA" -Zertifikate übertragen werden?

SherlockEinstein
quelle
Nein; Wenn Sie das Zertifikat so in den Windows-Zertifikatsspeicher stellen, dass es nicht vertrauenswürdig ist, wird die Möglichkeit, dass Chrome es auch vertrauen kann, außer Kraft gesetzt (Google). Es kann tatsächlich entschieden werden, dem Zertifikat tatsächlich nicht zu vertrauen, obwohl Sie es seitdem vertrauen Chrome behandelt Zertifikatsrückversionen anders als IE oder Edge unter Windows
Ramhound
Danke an @Ramhound für den Hinweis. Ich hatte dies als Option in Betracht gezogen (weil dies in den Antworten auf meine verknüpfte Frage vorgeschlagen wurde), aber ich wollte prüfen, was passieren könnte, wenn ich stattdessen das Zertifikat vollständig löschte.
SherlockEinstein
Was passieren würde, hängt davon ab, ob Sie auch die Stammzertifizierungsstelle löschen, die die Symantec-CA signiert hat.
Ramhound
@Ramhound, die Symantec-Zertifizierungsstelle in dieser Frage ist die Stammzertifizierungsstelle (es befinden sich keine weiteren Zertifikate über sich selbst in der Zertifizierungskette). Bei dieser Frage geht es also speziell um das Löschen dieser Stammzertifizierungsstelle.
SherlockEinstein
Es muss sich um ein anderes Zertifikat handeln, da ich mich an Fragen zu Symantec CA Cert erinnere. Es war jedoch nicht das oberste Stammverzeichnis. Ja, genau wie Chrome. Windows selbst hat eine Liste vertrauenswürdiger und nicht vertrauenswürdiger Zertifikate. Sie können jedoch ausdrücklich angeben, dass Sie dem Zertifikat nicht vertrauen, wenn Sie umziehen Wenn Sie die Liste der nicht vertrauenswürdigen Maschinen entfernen, würde dies nicht dazu führen, dass sie nicht gelöscht wird
Ramhound

Antworten:

6

Absolut . Da dieses Stammzertifikat Teil der Windows-Vertrauensliste ist, würde das bloße Durchsuchen einer solchen Site (selbst als Benutzer ohne Administratorberechtigung) dazu führen, dass das Zertifikat automatisch und unbemerkt dem Vertrauensspeicher der Maschine hinzugefügt wird. In diesem Blogeintrag finden Sie weitere Informationen und eine Testseite: http://hexatomium.github.io/2015/08/29/why-is-windows/

John Blatz
quelle
Nebenbei gesagt, wie im verlinkten Blog erklärt: Dies ist nicht auf Microsoft-Browser beschränkt, sondern geschieht auch bei Verwendung von Chrome unter Windows.
Arjan
0

Wenn wir die Möglichkeit ignorieren, dass Malware Ihr System infiziert und das Zertifikat hinzufügt. Oder Sie klicken manuell auf eine Zertifikatswarnung und fügen das Zertifikat hinzu.

Dann lautet die Antwort nein. Browser fügen Ihrem Zertifikatsspeicher beim Durchsuchen nicht automatisch Stammzertifikate hinzu. Das wäre ein großes Sicherheitsproblem.

Stammzertifikate werden normalerweise von beiden hinzugefügt

  • Browser-Updates
  • Betriebssystem-Updates
Zoredache
quelle
1
Falls Sie es verpasst haben: siehe Johns neue Antwort.
Arjan
Windows macht das. Und es ist gegenläufig intuitiv. Siehe Johns Antwort unten.
StackzOfZtuff