লিনাক্স মধ্যে একটি মধ্যবর্তী সিএ অনাস্থা?

এই ব্লগ থেকে ।

ইন্টারমিডিয়েট সিএগুলি হ'ল একটি শূন্য সিএ স্বাক্ষরিত শংসাপত্র যা কোনও ওয়েবসাইটের জন্য স্বেচ্ছাসেবীর শংসাপত্রগুলি স্বাক্ষর করতে পারে।

এগুলি রুট সিএর মতো শক্তিশালী, তবে আপনার সিস্টেমে যেগুলি বিশ্বাস করে তার সম্পূর্ণ তালিকা নেই কারণ রুট সিএগুলি ইচ্ছামত নতুন তৈরি করতে পারে এবং আপনার সিস্টেম তাদের প্রথম নজরে বিশ্বাস করবে। সেখানে সিটি-তে লগইন করা THOUSANDS রয়েছে।

এই মাসে একটি আকর্ষণীয় একটি পপ আপ হয়েছে, যা সেপ্টেম্বর 2015 এ স্পষ্টতই উত্পন্ন হয়েছিল: সিম্যানটেক স্বাক্ষরিত "ব্লু কোট পাবলিক সার্ভিসেস ইন্টারমিডিয়েট সিএ"। (এই সিএ স্বাক্ষরিত কোনও শংসাপত্র এখনও পর্যন্ত সিটি লগ বা সেন্সিতে পৌঁছেছে না))

আমি ভেবেছিলাম যে কোনও ইন্টারমিডিয়েট সিএ যাতে অন্যথায় ওএস এক্স এর উপর নির্ভরযোগ্য হয় তা স্পষ্টভাবে অবিশ্বস্ত করে কীভাবে লিখতে হবে তা লেখার জন্য এটি একটি ভাল অনুষ্ঠান হবে It

আমি যখন উবুন্টুতে ব্লগে পদক্ষেপগুলি চেষ্টা করেছি তখন আমি এই শংসাপত্রটি https://crt.sh/?id=19538258 ডাউনলোড করি । আমি যখন .crt খুলি তখন এটি জিনোম কেরিংয়ের মধ্যে আমদানি করে, কিন্তু তখন আমি শংসাপত্রটি আমদানির পরে "অবিশ্বাস" করার কোনও উপায় খুঁজে পাই না।

— রাফায়েল
সূত্র

উত্তর:

কেবল জিনিসগুলিকে কঠিন করার জন্য, শংসাপত্রগুলির সাথে কাজ করার জন্য লিনাক্সের একাধিক গ্রন্থাগার রয়েছে।

আপনি মজিলা এর NSS ব্যবহার করেন, তাহলে আপনি যা করতে পারেন সক্রিয়ভাবে অবিশ্বাস (তাদের পরিভাষা) কোনো শংসাপত্র ব্যবহার করে certutil এর -t trustargsবিকল্প:

$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"

ফায়ারফক্স জন্য, <path to directory containing database>সাধারণত ~/.mozilla/firefox/<???>.profileযেখানে <???>কিছু র্যান্ডম খুঁজছেন অক্ষর। (সারটুইটিল উদাঃ উবুন্টুর লিবনেস 3-সরঞ্জাম প্যাকেজে)

ভাঙ্গন নিম্নরূপ:

-M ডাটাবেস পরিবর্তন করতে

-t p বিশ্বাস নিষিদ্ধ করা

-n নামের শংসাপত্রে অপারেশন চালাতে to

এমনকি এনএসএসের মধ্যেও সমস্ত অ্যাপ্লিকেশন একই ডাটাবেস ভাগ করে না; সুতরাং আপনি এই প্রক্রিয়া পুনরাবৃত্তি হতে পারে। উদাহরণস্বরূপ, Chrome এর জন্য একই কাজ করতে, পরিবর্তন -d <path>করতে -d sql:.pki/nssdb/।

$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"

তবে, সমস্ত অ্যাপ্লিকেশনগুলি এনএসএস ব্যবহার করে না, সুতরাং এটি কোনও সম্পূর্ণ সমাধান নয়। উদাহরণস্বরূপ, আমি বিশ্বাস করি না যে ওপেনএসএসএল লাইব্রেরি দিয়ে এটি করা সম্ভব।

ফলস্বরূপ, ওপেনএসএসএল এর শংসাপত্র শৃঙ্খলা বিল্ডিং (টিএলএস, আইপিসেক ইত্যাদি) সরবরাহের জন্য যে অ্যাপ্লিকেশন ব্যবহার করে তা একটি ব্লু কোট শংসাপত্রের একটি চেইনের উপর নির্ভর করবে এবং এটি থেকে স্বাক্ষরকারী রুট সিএ অপসারণের সংক্ষিপ্ততার মধ্যে আপনি এর কিছুই করতে পারবেন না is আপনার আস্থার অ্যাঙ্কর স্টোর (যেটি আপনি অর্ধেক ইন্টারনেটকে অবিশ্বস্ত করতে চাইলে এটি সিম্যানটেক রুট সিএ বিবেচনা করে নির্বোধ হবে), অন্যদিকে এনএসএসের উপর নির্ভরশীল অ্যাপ্লিকেশনগুলিতে ব্লু কোটের শংসাপত্র রয়েছে এমন কোনও চেইনকে অবিশ্বাস করার জন্য আরও দানাদার কনফিগার করা যেতে পারে ।

উদাহরণস্বরূপ, আমি বিশ্বাস করি যে ওপেনভিপিএন ওপেনএসএসএলটিকে শংসাপত্রগুলির জন্য এটি গ্রন্থাগার হিসাবে ব্যবহার করে, সুতরাং আপনি যদি ওপেনভিপিএন ব্যবহার করে এমন কোনও বাণিজ্যিক ভিপিএন সরবরাহকারীর সাথে সংযোগ করছেন তবে বড় ভাই আপনার অজান্তে আপনার ওপেনভিপিএন ট্র্যাফিকের কথা শুনছেন। আপনি যদি সত্যিই উদ্বিগ্ন হন তবে আপনার বাণিজ্যিক ভিপিএন সরবরাহকারীর রুট সিএ কে তা পরীক্ষা করে দেখুন - এটি যদি সিম্যানটেক / ভেরিসাইন হয় তবে সম্ভবত এগুলি অন্য কারও জন্য খনন করার সময় এসেছে?

নোট করুন যে এসএসএইচ X509 শংসাপত্র ব্যবহার করে না তাই আপনি ব্লু কোট এমআইটিএম আক্রমণগুলির বিষয়ে চিন্তা না করেই এসএসএইচ ব্যবহার করে সংযোগ এবং টানেল তৈরি করতে পারেন।

— garethTheRed
সূত্র

আমি প্রশ্নটি আপডেট করে নির্দেশ করেছিলাম যে আমি যখন সেরিতে ডাবল ক্লিক করি তখন এটি জিনোম কেরিংয়ে আমদানি করা হত। আমি নীচে আমার উত্তরে ফায়ারফক্সে এটি আমদানির কোনও উপায় সন্ধান করার ব্যবস্থা করেছিলাম।

— রাফেল

ওপেনএসএসএল এর জন্য কেবল শংসাপত্রটি অপসারণ করা অবিশ্বস্ত করার মতো হবে না? এটি কেবলমাত্র সার্টিফিকেটগুলিকে যাচাই করতে পারে যা এটি সর্বোপরি জানে।

— ব্র্যাচলে

@ ব্র্যাচলে - যদি সন্দেহভাজন শংসাপত্রটি টিএলএস হ্যান্ডশেকের অংশ হিসাবে প্রেরণ করা হত (তবে এটি হওয়া উচিত)? এটা শুধু বিশ্বস্ত হবে, যদি না একটি উপায় আছে এর (হিসাবে মজিলা NSS, Windows ও অপারেটিং সিস্টেম এক্স সাথে আছেন) এর জিদ যে এটা সবসময় অবিশ্বস্ত হয়।

— গ্যারেথ TheRed

@garethTheRed আমি হয়ত কিছু মিস করছি, তবে লাইব্রেরিতে যদি শংসাপত্রটি বৈধ হওয়ার দরকার হয় তবে তা হয় কোনও সিআরএল করবে না বা বিশ্বস্ত রুট সিএ মুছে ফেলা সমস্যার সমাধান করবে না? এটি ক্লায়েন্ট বা সার্ভার শংসাপত্রগুলি হোক না কেন এটির এখনও বৈধতা থাকা দরকার।

— ব্র্যাচলে

হ্যাঁ. ব্লুয়েটকে মধ্য-মধ্যবর্তী ডিভাইসগুলিতে ব্যবহারের জন্য ভেরিজাইন একটি সিএ শংসাপত্র জারি করেছিলেন । ওপি এই শংসাপত্রটিকে কীভাবে অবিশ্বাস করতে হবে জিজ্ঞাসা করে। সুতরাং এটি একটি অধস্তন শংসাপত্রের উপর অবিশ্বাস করা সম্পর্কে যে উচ্চতর প্রদানকারী সিএ (এই ক্ষেত্রে রুট) প্রত্যাহার করবে না, যখন আপনি যেমনটি বলেন, আপনি রুটটি (ভেরিজাইন) অবিশ্বাস করতে চান না।

— গ্যারেথTheRed

আমি এখনও মন্তব্য করতে পারছি না, সুতরাং আমি এখানে মন্তব্য করতে হবে যে উবুন্টু জ্ঞোম 15.10 এ, যখন আমি @ গ্যারেথ দ্য রেডের পদ্ধতিকে ব্যবহার করি তখন আমি পাই:

~$ certutil -d ~/.mozilla/firefox/<directory>.default -M -t p -n "Blue Coat Public Services Intermediate CA" 
certutil: could not find certificate named "Blue Coat Public Services Intermediate CA": SEC_ERROR_BAD_DATABASE: security library: bad database.

~$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
certutil: could not find certificate named "Blue Coat Public Services Intermediate CA": SEC_ERROR_UNRECOGNIZED_OID: Unrecognized Object Identifier.

"ব্লু কোট সিস্টেমস, ইনক।" হয় না, কাজ করে না।

(এটি আমি আমদানি করা শংসাপত্র: https://crt.sh/?id=19538258 )

— Diagon
সূত্র

আপনি কি ডাউনলোড করে প্রথমে শংসাপত্রটি আমদানি করেছেন?

— রাফেল

হ্যাঁ, আমি এটিকে আমদানি করেছি: crt.sh/?id=19538258 । (মনে হয় আমি এখনই মন্তব্য করতে পারি! :)

— ডায়াগন

আমি মনে করি আপনি কেবল নিজের উত্তরটিতে মন্তব্য করতে পারেন। আমি বাস্তবে এখনও পদ্ধতিটি চেষ্টা করে দেখিনি।

— রাফেল

নীচে আমার উত্তর দেখুন

— রাফেল

@ ফ্যাফেল - আমি নীচে সম্পাদনা করার চেষ্টা করেছি, আপনাকে জানাতে যে: উপরের লিঙ্কটি "-t পি" "নিষিদ্ধ (স্পষ্টতই অবিশ্বস্ত)" হিসাবে বর্ণনা করেছে, উবুন্টু 15.10 ম্যান পৃষ্ঠাটি এটি "পি - বৈধ পিয়ার" হিসাবে বর্ণনা করেছে। আমি আশা করি আপনি ভুল কাজটি করেন নি।

— ডায়াগন