答案1
有一个问题 #299有关此问题,请参阅 Seahorse 问题追踪器。
TL;DR:这些是不受信任的证书,在您的发行版根 CA 列表中被标记为不受信任,以保护您。Seahorse 无法很好地处理这些证书。这是外观问题,不是安全问题。
长版本
多年来,发生了多起 CA 证书被滥用(黑客攻击、不负责任地使用等)的事件。由于您的浏览器信任这些 CA 颁发的任何证书,因此这些证书在安全性方面受到了非常严重的损害。
为了保护你免受 MiTM 攻击,这些证书包含在你的发行版的证书列表中,并且明确标记被列入黑名单/被拒绝/无效。
大多数发行版都从一由 Mozilla 上游作为 nss 项目的一部分进行维护。
此类不良证书的一个例子是 Trustwave 中颁发的证书争议. 这是 Mozilla问题将这些证书标记为不受信任。
如果您查看 mozilla 文件,您会看到有一个名为“Trustwave 颁发的 MITM subCA 1”的条目,并且它被标记为不受信任。
这个和其他几个示例在 seahorse 中显示为(null)
因为它们包含足够的信息以忽略它们,但不包含实际的 CA 证书。因此,seahorse 以这种奇怪的方式显示它们。
与空证书相对应的 7 个条目是:
- “MITM subCA 1 由 Trustwave 颁发”
- “MITM subCA 2 由 Trustwave 颁发”
- “TURKTRUST 错误签发了中间 CA 1”
- “TURKTRUST 错误颁发了中间 CA 2”
- “不信任:O=Egypt Trust,OU=VeriSign Trust Network(证书 1/3)”
- “不信任:O=埃及信托,OU=VeriSign 信托网络(证书 2/3)”
- “不信任:O=埃及信托,OU=VeriSign 信托网络(证书 3/3)”
您可以使用您最喜欢的搜索引擎来了解有关这些背后的故事(还有DigiNotar和Comodo)的更多信息,并了解CA信任系统实际上有多么严重。
在 Fedora 上,CA 证书列表(源自 mozilla 文件)位于/usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit
。
我曾尝试向 Gitlab 上的海马开发人员报告此问题,但在经过 16 次验证码、30 分钟和一次立即阻止后放弃了。
链接:
- https://gitlab.gnome.org/GNOME/seahorse/-/issues/299
- https://hg.mozilla.org/releases/mozilla-beta/file/tip/security/nss/lib/ckfw/builtins/certdata.txt
- https://bugzilla.mozilla.org/show_bug.cgi?id=724929
- https://threatpost.com/final-report-diginotar-hack-shows-total-compromise-ca-servers-103112/77170/
- https://www.vice.com/en_us/article/78kkwd/a-controversial-surveillance-firm-was-granted-a-powerful-encryption-certifica
- https://www.bleepingcomputer.com/news/security/cybersecurity-firm-darkmatter-request-to-be-trusted-root-ca-raises-concerns/
- https://security.stackexchange.com/questions/174474/why-is-diginotar-ca-still-in-my-mozilla-firefox