Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов

Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов

Windows не предоставляет графический интерфейс для просмотра полного списка.

ИБ-исследователь Фирас Салем (Firas Salem) рассказал, что основной центр сертификатов Windows Certificate Trust List (CTL) является главным источником всех корневых сертификатов, которым система доверяет по умолчанию. В отличие от CTL, диспетчер сертификатов certmgr.msc показывает гораздо меньшее число сертификатов, считающихся «Доверенными корневыми центрами сертификации» (Trusted Root Certification Authorities) системы. На самом деле, отмечает Салем, реальный список сертификатов хранится в непонятном формате «глубоко» в системе, и Windows не предоставляет графический интерфейс для просмотра полного списка.

Начиная с версии ОС Windows Vista, разработчиками был добавлен новый механизм автообновления AutoUpdate, который позволяет загружать доверенные корневые сертификаты при первой же активации системы. Салем отмечает, что Windows показывает не все данные о сертификатах, вследствие чего многие пользователи и даже профессиональные ИБ-эксперты ошибочно полагают, что ОС доверяет не более двум десяткам центрам корневых сертификатов, когда на деле их сотни.

Салем предлагает провести простой тест. Необходимо открыть certmgr.msc, перейти к «Доверенным корневым центрам сертификации» и обратить внимание на отсутствие центра сертификации OpenTrust Root CA G3. Затем, отмечает эксперт, нужно через браузер Chrome или Internet Explorer зайти на https://opentrustrootcag3-test.opentrust.com/ - это необходимо для того, чтобы браузер установил защищенное соединение SSL. Если пользователь внимательно «рассмотрит» SSL-сертификат, то заметит, что он был подписан OpenTrust Root CA G3, которого не было в списке «Доверенных корневых центров сертификации».

Открыв certmgr.msc, можно увидеть, что OpenTrust Root CA G3 без каких-либо разрешений и подсказок появился в списке. Вероятно, что сертификат ранее уже был добавлен в CTL. Таким образом можно выяснить, что certmgr.msc содержит неполную информацию, заявляет Салем.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!