Как обнаружить поддельные доверенные личные / корневые сертификаты SSL целевого домена

Question

Кто-то может добавить поддельный сертификат SSL.в коллекцию доверенных сертификатов.Как я могу обнаружить эти подделки?Как я могу проверить, что сертификат является официальным, есть ли список для сравнения?

Я добавил скриншот легального и поддельного (созданный Fiddler):

ДОПОЛНЕНИЕ: Для обеспечения безопасности конфиденциальной связи SSL необходимо использовать сертификаты общих доверенных органов.Если кто-то установил Fiddler - или вредоносное программное обеспечение установило свой собственный сертификат. - Мне нужно отменить любые попытки связи и оповещения в моем приложении на компьютере клиента.связь между компьютером конечного пользователя и Google Docs .Мы знаем, что общедоступный сертификат сайта Google Docs выдан " Google Internet Authority ".Я думаю, что мне нужно сравнить его и установить сертификат для Google Docs на ПК пользователя.

Последнее слово:

Мне нужно просто сравнить используемый сертификат для целевого сайтапротив оригинального SSL-сертификата целевого сайта перед любой связью SSL.

Дополнительная информация: Эта ссылка

Answer 1

Единого «официального списка» не существует. Вы должны сравнить свой список с чужим списком.

• У Windows есть собственный список, который используется Internet Explorer.

• Firefox поддерживает отдельный список.

Я не знаю о Chrome, Safari или Opera.

Но, в общем, вам нужно сравнить свой список с другими списками, которые, как вы знаете, являются правильными, например, с компьютера коллеги.

Answer 2

Вы не можете.Если пользователь добавил это, это означает, что она доверяет этому.А также, сертификат может быть действительным, не входя в «официальные» списки.

Answer 3

Каждое приложение поддерживает (или полагается на другие приложения) список доверенных корневых центров сертификации.У Windows есть свой собственный список, у OpenSSL есть свой собственный список, у всех основных браузеров есть свои собственные списки (Chrome использует или может использовать Windows, если память служит).

Если вы создаете приложение для Windows, вам лучше всего полагаться на системный список, поскольку он регулярно обновляется (если вы несете свой собственный список, вы должны также поддерживать его).

Следует обратить внимание на то, что сертификат, выданный доверенным органом, не означает доверенный сертификат.Некоторые сертификаты выдаются путем взлома (это произошло, по крайней мере, с двумя промежуточными ЦС в течение последних лет), утечка секретных ключей для других, и это вызывает необходимость отзывать такие сертификаты.Статус отзыва может быть проверен путем проверки списков отзыва сертификатов (списки отзыва, опубликованные центрами сертификации) или с помощью OCSP (протокол статуса сертификата в Интернете).Вы должны использовать их независимо от того, где вы получите список доверенных ЦС.