কেবল জিনিসগুলিকে কঠিন করার জন্য, শংসাপত্রগুলির সাথে কাজ করার জন্য লিনাক্সের একাধিক গ্রন্থাগার রয়েছে।
আপনি মজিলা এর NSS ব্যবহার করেন, তাহলে আপনি যা করতে পারেন সক্রিয়ভাবে অবিশ্বাস (তাদের পরিভাষা) কোনো শংসাপত্র ব্যবহার করে certutil এর -t trustargs
বিকল্প:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
ফায়ারফক্স জন্য, <path to directory containing database>
সাধারণত ~/.mozilla/firefox/<???>.profile
যেখানে <???>
কিছু র্যান্ডম খুঁজছেন অক্ষর। (সারটুইটিল উদাঃ উবুন্টুর লিবনেস 3-সরঞ্জাম প্যাকেজে)
ভাঙ্গন নিম্নরূপ:
-M
ডাটাবেস পরিবর্তন করতে
-t p
বিশ্বাস নিষিদ্ধ করা
-n
নামের শংসাপত্রে অপারেশন চালাতে to
এমনকি এনএসএসের মধ্যেও সমস্ত অ্যাপ্লিকেশন একই ডাটাবেস ভাগ করে না; সুতরাং আপনি এই প্রক্রিয়া পুনরাবৃত্তি হতে পারে। উদাহরণস্বরূপ, Chrome এর জন্য একই কাজ করতে, পরিবর্তন -d <path>
করতে -d sql:.pki/nssdb/
।
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
তবে, সমস্ত অ্যাপ্লিকেশনগুলি এনএসএস ব্যবহার করে না, সুতরাং এটি কোনও সম্পূর্ণ সমাধান নয়। উদাহরণস্বরূপ, আমি বিশ্বাস করি না যে ওপেনএসএসএল লাইব্রেরি দিয়ে এটি করা সম্ভব।
ফলস্বরূপ, ওপেনএসএসএল এর শংসাপত্র শৃঙ্খলা বিল্ডিং (টিএলএস, আইপিসেক ইত্যাদি) সরবরাহের জন্য যে অ্যাপ্লিকেশন ব্যবহার করে তা একটি ব্লু কোট শংসাপত্রের একটি চেইনের উপর নির্ভর করবে এবং এটি থেকে স্বাক্ষরকারী রুট সিএ অপসারণের সংক্ষিপ্ততার মধ্যে আপনি এর কিছুই করতে পারবেন না is আপনার আস্থার অ্যাঙ্কর স্টোর (যেটি আপনি অর্ধেক ইন্টারনেটকে অবিশ্বস্ত করতে চাইলে এটি সিম্যানটেক রুট সিএ বিবেচনা করে নির্বোধ হবে), অন্যদিকে এনএসএসের উপর নির্ভরশীল অ্যাপ্লিকেশনগুলিতে ব্লু কোটের শংসাপত্র রয়েছে এমন কোনও চেইনকে অবিশ্বাস করার জন্য আরও দানাদার কনফিগার করা যেতে পারে ।
উদাহরণস্বরূপ, আমি বিশ্বাস করি যে ওপেনভিপিএন ওপেনএসএসএলটিকে শংসাপত্রগুলির জন্য এটি গ্রন্থাগার হিসাবে ব্যবহার করে, সুতরাং আপনি যদি ওপেনভিপিএন ব্যবহার করে এমন কোনও বাণিজ্যিক ভিপিএন সরবরাহকারীর সাথে সংযোগ করছেন তবে বড় ভাই আপনার অজান্তে আপনার ওপেনভিপিএন ট্র্যাফিকের কথা শুনছেন। আপনি যদি সত্যিই উদ্বিগ্ন হন তবে আপনার বাণিজ্যিক ভিপিএন সরবরাহকারীর রুট সিএ কে তা পরীক্ষা করে দেখুন - এটি যদি সিম্যানটেক / ভেরিসাইন হয় তবে সম্ভবত এগুলি অন্য কারও জন্য খনন করার সময় এসেছে?
নোট করুন যে এসএসএইচ X509 শংসাপত্র ব্যবহার করে না তাই আপনি ব্লু কোট এমআইটিএম আক্রমণগুলির বিষয়ে চিন্তা না করেই এসএসএইচ ব্যবহার করে সংযোগ এবং টানেল তৈরি করতে পারেন।