刚刚安装了 Ubuntu 18.04 LTS,在 Mozilla Firefox 70.0.1(64 位)中注意到两个奇怪的证书不知为何让我想起了什么。我不想信任网络上的任何地方以获取信息,以防受到 MiTM 攻击,有人能确认这两个证书是否应该在全新安装中存在吗?
- DigiNotar 根 CA
- DigiNotar PKIoverheid CA 组织 - G2
附图:
答案1
是的,这些证书应该存在,因为 DigiNotar不是值得信赖。让我解释一下。
这个故事有点复杂:DigiNotar 是一家荷兰认证机构。2011 年,人们发现了 DigiNotar 颁发的伪造证书。进一步检查发现,该公司的系统已被破解和入侵。据推测,攻击者的意图是利用伪造证书对伊朗的一些 GMail 用户进行中间人攻击。
在发现漏洞后,荷兰政府接管了 DigiNotar 的运营。不久之后,该公司倒闭了。DigiNotar 的根证书被 Mozilla、Google 等公司吊销和封锁。
那么,为什么 Firefox 仍然附带 DigiNotar 证书呢?这些证书就是所谓的“阻止证书”。它们本身没有任何信任,因此它们无法将任何信任传递给信任链中的任何其他证书。正因为如此,Firefox 不会信任任何声称“相信我,因为 DigiNotar 为我签名”的证书。而且由于存在“阻止证书”,因此也无法安装新的 DigiNotar 根证书(这显然是欺诈行为)。