Versión larga

Question

Hay unnúmero 299para esto en el rastreador de problemas de Seahorse.

TL;DR: estos son certificados no confiables marcados como tales para su protección en la lista de CA raíz de su distribución. Seahorse no los maneja bien.Es un problema cosmético, no de seguridad..

Versión larga

A lo largo de los años, ha habido múltiples incidentes en los que se ha abusado de los certificados de CA (pirateados, utilizados de manera irresponsable, etc.). Dado que su navegador confía en cualquier certificado emitido por estas CA, éstas se ven seriamente comprometidas en términos de seguridad.

Para protegerlo del ataque MiTM, estos certificados se incluyen en la lista de certificados de su distribución ymarcado explícitamentecomo incluido en la lista negra/rechazado/inválido.

La mayoría de las distribuciones obtienen la lista delunomantenido por Mozilla upstream como parte del proyecto nss.

Un ejemplo de un certificado tan malo son los problemas con los certificados como parte de Trustwave.controversia. Aquí está Mozillaasuntomarcar estos certificados como no confiables.

Si observa el archivo de Mozilla, verá que hay una entrada llamada "MITM subCA 1 emitida por Trustwave" y está marcada como no confiable.

Este y varios otros ejemplos aparecen como (null)en caballito de mar porque incluyen suficiente información para ignorarlos, pero no incluyen el certificado de CA real. Entonces, los caballitos de mar los muestran de esta manera extraña.

Las 7 entradas que corresponden a los certificados nulos son:

"MITM subCA 1 emitido por Trustwave"
"MITM subCA 2 emitido por Trustwave"
"TURKTRUST CA 1 intermedio emitido erróneamente"
"TURKTRUST CA 2 intermedio emitido erróneamente"
"Desconfianza: O=Egypt Trust, OU=VeriSign Trust Network (certificado 1/3)"
"Desconfianza: O=Egypt Trust, OU=VeriSign Trust Network (certificado 2/3)"
"Desconfianza: O=Egypt Trust, OU=VeriSign Trust Network (certificado 3/3)"

Puede utilizar su motor de búsqueda favorito para obtener más información sobre las historias detrás de estos (también, DigiNotar y Comodo) y para saber cuán gravemente roto está realmente el sistema de confianza de CA.

En Fedora, la lista de certificados de CA (derivada del archivo de Mozilla) se encuentra en /usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit).

Intenté informar esto a los desarrolladores de caballitos de mar en su Gitlab, pero me di por vencido después de 16 captchas, 30 minutos y un insta-bloque.

Enlaces:

Answer 1

Hay unnúmero 299para esto en el rastreador de problemas de Seahorse.

TL;DR: estos son certificados no confiables marcados como tales para su protección en la lista de CA raíz de su distribución. Seahorse no los maneja bien.Es un problema cosmético, no de seguridad..

Versión larga

A lo largo de los años, ha habido múltiples incidentes en los que se ha abusado de los certificados de CA (pirateados, utilizados de manera irresponsable, etc.). Dado que su navegador confía en cualquier certificado emitido por estas CA, éstas se ven seriamente comprometidas en términos de seguridad.

Para protegerlo del ataque MiTM, estos certificados se incluyen en la lista de certificados de su distribución ymarcado explícitamentecomo incluido en la lista negra/rechazado/inválido.

La mayoría de las distribuciones obtienen la lista delunomantenido por Mozilla upstream como parte del proyecto nss.

Un ejemplo de un certificado tan malo son los problemas con los certificados como parte de Trustwave.controversia. Aquí está Mozillaasuntomarcar estos certificados como no confiables.

Si observa el archivo de Mozilla, verá que hay una entrada llamada "MITM subCA 1 emitida por Trustwave" y está marcada como no confiable.

Este y varios otros ejemplos aparecen como (null)en caballito de mar porque incluyen suficiente información para ignorarlos, pero no incluyen el certificado de CA real. Entonces, los caballitos de mar los muestran de esta manera extraña.

Las 7 entradas que corresponden a los certificados nulos son:

"MITM subCA 1 emitido por Trustwave"
"MITM subCA 2 emitido por Trustwave"
"TURKTRUST CA 1 intermedio emitido erróneamente"
"TURKTRUST CA 2 intermedio emitido erróneamente"
"Desconfianza: O=Egypt Trust, OU=VeriSign Trust Network (certificado 1/3)"
"Desconfianza: O=Egypt Trust, OU=VeriSign Trust Network (certificado 2/3)"
"Desconfianza: O=Egypt Trust, OU=VeriSign Trust Network (certificado 3/3)"

Puede utilizar su motor de búsqueda favorito para obtener más información sobre las historias detrás de estos (también, DigiNotar y Comodo) y para saber cuán gravemente roto está realmente el sistema de confianza de CA.

En Fedora, la lista de certificados de CA (derivada del archivo de Mozilla) se encuentra en /usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit).

Intenté informar esto a los desarrolladores de caballitos de mar en su Gitlab, pero me di por vencido después de 16 captchas, 30 minutos y un insta-bloque.

Enlaces:

Versión larga

Respuesta1

Versión larga

información relacionada