Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов

Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов

Windows не предоставляет графический интерфейс для просмотра полного списка.

ИБ-исследователь Фирас Салем (Firas Salem) рассказал, что основной центр сертификатов Windows Certificate Trust List (CTL) является главным источником всех корневых сертификатов, которым система доверяет по умолчанию. В отличие от CTL, диспетчер сертификатов certmgr.msc показывает гораздо меньшее число сертификатов, считающихся «Доверенными корневыми центрами сертификации» (Trusted Root Certification Authorities) системы. На самом деле, отмечает Салем, реальный список сертификатов хранится в непонятном формате «глубоко» в системе, и Windows не предоставляет графический интерфейс для просмотра полного списка.

Начиная с версии ОС Windows Vista, разработчиками был добавлен новый механизм автообновления AutoUpdate, который позволяет загружать доверенные корневые сертификаты при первой же активации системы. Салем отмечает, что Windows показывает не все данные о сертификатах, вследствие чего многие пользователи и даже профессиональные ИБ-эксперты ошибочно полагают, что ОС доверяет не более двум десяткам центрам корневых сертификатов, когда на деле их сотни.

Салем предлагает провести простой тест. Необходимо открыть certmgr.msc, перейти к «Доверенным корневым центрам сертификации» и обратить внимание на отсутствие центра сертификации OpenTrust Root CA G3. Затем, отмечает эксперт, нужно через браузер Chrome или Internet Explorer зайти на https://opentrustrootcag3-test.opentrust.com/ - это необходимо для того, чтобы браузер установил защищенное соединение SSL. Если пользователь внимательно «рассмотрит» SSL-сертификат, то заметит, что он был подписан OpenTrust Root CA G3, которого не было в списке «Доверенных корневых центров сертификации».

Открыв certmgr.msc, можно увидеть, что OpenTrust Root CA G3 без каких-либо разрешений и подсказок появился в списке. Вероятно, что сертификат ранее уже был добавлен в CTL. Таким образом можно выяснить, что certmgr.msc содержит неполную информацию, заявляет Салем.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться