Сертификати са като потвърждение, че съобщението, изпратено до вас, е оригинално и не е подправено. Разбира се, съществуват методи за фалшифициране на потвържденията като сертификата SuperFish на Lenovo - и ние ще поговорим за това известно време. Тази статия обяснява кои са родови сертификати в Windows и ако трябва да ги актуализирате - защото Windows ги показва винаги като некритични актуализации.
Как функционира криптографията на публичния ключ
Преди да говорите за коренни сертификати, е необходимо да погледнете как функционира криптографията в случай на уеб разговори, между уебсайт и браузъри или между две лица под формата на съобщения.
Има много видове криптография, от които две са съществени и се използват широко за различни цели.
- Симетрична криптография се използва, когато имате ключ и само този ключ може да се използва за шифроване и декриптиране на съобщения (най-често използвани в комуникациите по имейл)
- Асиметрична криптография, където има два клавиша. Един от тези ключове се използва за шифроване на съобщение, докато другият ключ се използва за декриптиране на съобщението
Криптографията с публичен ключ има публичен и частен ключ. Съобщенията могат да бъдат декодирани и криптирани с помощта на двете. Използването на двата клавиша е от съществено значение за завършване на комуникацията. Публичният ключ е видим за всеки и се използва, за да се увери, че произхода на съобщението е точно същият, какъвто изглежда. Публичният ключ криптира данните и се изпраща на получателя с публичния ключ. Получателят декриптира данните с помощта на частния ключ. Създава се доверие и комуникацията продължава.
Както публичният, така и частният ключ съдържат информация за Орган за издаване на сертификати като EquiFax, DigiCert, Comodo и т.н. Ако вашата операционна система счита, че органът, издаващ сертификата, е надежден, съобщенията се изпращат между браузъра и уебсайтовете. Ако има проблем с идентифицирането на издаващия сертификат орган или ако публичният ключ е изтекъл или повреден, ще видите съобщение, което казва Има проблем със сертификата на уебсайта.
Сега, говорейки за криптографията с публичен ключ, тя е като банков трезоп. Разполага с два клавиша - единият с мениджъра на клона и един с потребителя на трезора. Сводът се отваря само ако двата клавиша се използват и съвпадат. По същия начин се използва както публичният, така и частният ключ, докато се установява връзка с всеки уебсайт.
Какво представляват сертификатите за корен в Windows
Кодовите сертификати са основното ниво на сертификати, които казват на браузъра, че комуникацията е оригинална. Тази информация, че комуникацията е оригинална, се основава на идентифицирането на сертифициращия орган. Операционната ви система Windows добавя няколко коренни сертификата като надеждни, за да може браузърът да ги използва, за да комуникират с уебсайтове.
Това също помага при криптиране на комуникациите между браузърите и уеб сайтовете и автоматично прави валидни други сертификати. По този начин сертификатът има много клонове. Например, ако е инсталиран сертификат от Comodo, той ще има сертификат от най-високо ниво, който ще помогне на уеб браузърите да комуникират с уебсайтове по шифрован начин. Като клон в сертификата, Comodo включва и имейл сертификати, на които автоматично ще се доверяват браузърите и имейл клиентите, защото операционната система е маркирала коренния сертификат като надежден.
Основните сертификати определят дали да се отвори комуникационна сесия с уебсайт. Когато уеб браузър стигне до уебсайт, сайтът му дава публичен ключ. Браузърът анализира клавиша, за да види кой е органът, издаващ сертификата, дали органът е надежден в съответствие с Windows, датата на изтичане на сертификата (ако сертификатът е все още валиден) и подобни неща, преди да продължите да общувате с уебсайта. Ако нещо не е наред, ще получите предупреждение и браузърът ви може да блокира всички комуникации с уебсайта.
От друга страна, ако всичко е наред, съобщенията се изпращат и получават от браузъра, докато се осъществява комуникацията. При всяко входящо съобщение браузърът също проверява съобщението със собствен частен ключ, за да види, че не е измамно съобщение. Той отговаря само ако може да декриптира съобщението с помощта на своя частен ключ. По този начин и двата клавиша са необходими за осъществяване на комуникациите. Освен това всички комуникации се пренасят в криптиран режим.
Фалшиви коренни сертификати
Има случаи, при които компаниите, хакерите и т.н. са се опитали да подкопаят потребителите. Неотдавнашният случай на невалиден сертификат, в който се вярва като root, все още върши кръга. Това беше сертификатът "SuperFish" в компютрите на Lenovo. Суперфишният рекламен софтуер е инсталирал сертификат за корен, който изглеждаше легитимен и позволява на браузърите да осъществяват комуникации със сайтове. Системата за кодиране обаче беше толкова слаба, че лесно можеше да се следи.
Lenovo заяви, че иска да подобри потребителския опит на потребителите и вместо това да разкрие частните си данни на хакери по интернет в Интернет. Тези частни данни могат да бъдат всичко, включително информация за кредитни карти, номер на социална защита и т.н. Ако имате Lenovo машина, уверете се, че нямате инсталиран рекламен софтуер, като проверите надеждните сертификати в браузърите си. Ако има такава, актуализирайте и стартирайте Windows Defender, за да се отървете от сертификата. Също така има и инструмент за автоматично премахване, освободен от Lenovo.
Можете да проверите за неподписани или ненадеждни сертификати за корен на Windows, използвайки скенер за коренни сертификати или SigCheck.
заключение
Основните сертификати са важни, за да могат браузърите ви да комуникират с уебсайтовете. Ако изтриете всички надеждни сертификати, от любопитство или останете в безопасност, винаги ще получите съобщение, че сте на несвястна връзка. Можете да изтеглите надеждни коренни сертификати чрез Програма за сертификати за коренни сертификати на Microsoft Windows, ако смятате, че нямате всички подходящи сертификати за корен.
Винаги трябва да проверявате некритичните актуализации, за да видите дали има налични актуализации за коренните сертификати. Ако да, можете да ги изтеглите само с помощта на Windows Update, а не от сайтове на трети страни.
Съществуват и фалшиви сертификати, но шансовете за получаване на фалшиви сертификати са ограничени - само когато производителят на компютъра ви добави такъв към списъка с доверени коренни сертификати, както е направил Lenovo или когато изтегляте коренни сертификати от уеб сайтове на трети страни. По-добре е да се придържате към Microsoft и да го оставяте да се справя с коренните сертификати, вместо да се занимава самостоятелно, за да ги инсталирате отвсякъде в Интернет. Също така можете да видите дали е удостоверен коренният сертификат, като го отворите и стартирате търсене на името на органа, издаващ сертификата. Ако органът изглежда по-известен, можете да го инсталирате или да го запазите. Ако не можете да посочите органа, издаващ сертификата, е по-добре да го премахнете.
След една-две седмици ще видим как да управляваме сертификатите за доверени корени.
