长版本

长版本

用搜索引擎很难找到解释,所以我在这里提问和回答。

Seahorse、Gnome 密钥环和密钥管理器在启用“显示任何”时,会在“默认信任”选项卡下显示几个带有全空白字段的可疑证书:

在此处输入图片描述

尚不清楚它们来自哪里、是什么、如何到达那里。它们是否会带来安全风险?我被黑客入侵了吗?

答案1

有一个问题 #299有关此问题,请参阅 Seahorse 问题追踪器。

TL;DR:这些是不受信任的证书,在您的发行版根 CA 列表中被标记为不受信任,以保护您。Seahorse 无法很好地处理这些证书。这是外观问题,不是安全问题

长版本

多年来,发生了多起 CA 证书被滥用(黑客攻击、不负责任地使用等)的事件。由于您的浏览器信任这些 CA 颁发的任何证书,因此这些证书在安全性方面受到了非常严重的损害。

为了保护你免受 MiTM 攻击,这些证书包含在你的发行版的证书列表中,并且明确标记被列入黑名单/被拒绝/无效。

大多数发行版都从由 Mozilla 上游作为 nss 项目的一部分进行维护。

此类不良证书的一个例子是 Trustwave 中颁发的证书争议. 这是 Mozilla问题将这些证书标记为不受信任。

如果您查看 mozilla 文件,您会看到有一个名为“Trustwave 颁发的 MITM subCA 1”的条目,并且它被标记为不受信任。

这个和其他几个示例在 seahorse 中显示为(null)因为它们包含足够的信息以忽略它们,但不包含实际的 CA 证书。因此,seahorse 以这种奇怪的方式显示它们。

与空证书相对应的 7 个条目是:

  • “MITM subCA 1 由 Trustwave 颁发”
  • “MITM subCA 2 由 Trustwave 颁发”
  • “TURKTRUST 错误签发了中间 CA 1”
  • “TURKTRUST 错误颁发了中间 CA 2”
  • “不信任:O=Egypt Trust,OU=VeriSign Trust Network(证书 1/3)”
  • “不信任:O=埃及信托,OU=VeriSign 信托网络(证书 2/3)”
  • “不信任:O=埃及信托,OU=VeriSign 信托网络(证书 3/3)”

您可以使用您最喜欢的搜索引擎来了解有关这些背后的故事(还有DigiNotar和Comodo)的更多信息,并了解CA信任系统实际上有多么严重。

在 Fedora 上,CA 证书列表(源自 mozilla 文件)位于/usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit

我曾尝试向 Gitlab 上的海马开发人员报告此问题,但在经过 16 次验证码、30 分钟和一次立即阻止后放弃了。

链接:

相关内容