목표는 특정 프로필에 대해 하드 디스크에 저장된 특정 인증서만 신뢰하는 것입니다. 따라서 인증 기관이 필요하지 않습니다.
성공하지 못한 채 시도했습니다.
- 인증서 관리자(Firefox 환경 설정의 일부)를 사용하여 모든 CA 삭제
cert9.db프로필에서 삭제cert9.dbFirefox가 변경할 수 없도록 0바이트로 지우고 모든 권한 플래그를 제거합니다.
세 가지 조치 모두 CA가 다시 나타나도록 했습니다( cert9.db적어도 해당 파일에 대한 쓰기 권한을 제거한 경우 반드시 에서는 아니지만 Firefox의 인증서 관리자에는 여전히 있음).
CA가 어디서 나오는지 궁금합니다. Firefox는 해당 내용을 놓친 경우 인터넷에서 해당 내용을 읽습니까? 나는 그들이 다시 나타날 것이라고 전혀 기대하지 않았습니다.
어떻게 하면 그런 행동을 방지할 수 있나요?
답변1
Firefox에서 모든 CA 인증서를 제거하는 방법이 있습니까?
Firefox는 Mozilla를 사용합니다.NSSTLS와 같은 보안 관련 기능을 위한 라이브러리입니다. NSS에는 Firefox가 기본 CA 인증서를 얻기 위해 사용하는 자체 내장 CA 저장소가 있습니다.
에서Mozilla FAQ:
미리 로드된 CA 인증서는 다음 파일에 포함되어 있습니다.
- 윈도우: libnssckbi.dll
- Unix, Linux 및 기타 *nix 변형: libnssckbi.so
- 맥 OS X: 목차/MacOS/libnssckbi.dynlib
따라서 모든 CA 인증서는 Firefox 자체의 일부이므로 제거할 수 없습니다.
모든 CA 인증서에서 모든 신뢰를 제거할 수 있습니까?
에서Mozilla FAQ:
Mozilla 제품에 기본적으로 포함된 루트 인증서가 있는 특정 CA를 신뢰하지 않는 경우 인증서를 비활성화하는 두 가지 방법이 있습니다.
- 해당 루트 인증서에 대한 신뢰 비트를 끄십시오.
- 루트 인증서를 삭제합니다.
- 기본 루트 저장소에 있는 루트 인증서를 삭제하는 것은 해당 루트에 대한 모든 신뢰 비트를 끄는 것과 같습니다. 따라서 루트 인증서가 인증서 관리자에 다시 나타나더라도 해당 루트 인증서의 신뢰 비트를 변경하여 모두 끄는 것처럼 처리됩니다.
중요한:이 변경 사항은 영구적인 영향을 미치므로 루트 인증서에 대한 신뢰 비트는 사용자만 다시 변경할 수 있습니다. 이 변경 사항은 최신 버전의 Mozilla 소프트웨어로 업그레이드해도 영향을 받지 않습니다. 변경 사항이 검색 환경에 부정적인 영향을 미치는 경우 신뢰 비트를 다시 설정할 수 있도록 수정하는 루트 인증서를 기록해 두는 것이 좋습니다.
따라서 모든 CA 인증서를 불신하려면 다음을 수행하십시오.
- 이동
about:preferences#privacy View Certificates...페이지 하단의 를 클릭하세요.- 탭으로 전환
Authorities - 인증서를 선택하세요
- 클릭
Delete or Distrust... - 클릭하여 확인하세요.
OK - 모든 인증서에 대해 4~6단계를 반복합니다.
- 파이어폭스 다시 시작
Firefox를 다시 시작하면 모든 기본 인증서가 다시 나타나는 것을 볼 수 있습니다.
Firefox를 다시 시작한 후에도 CA 인증서가 계속 나타나는 이유는 무엇입니까?
기본 인증서는 제거할 수 없으므로 Firefox는 이를 신뢰하지 않으므로 다른 인증서를 확인하는 데 사용할 수 없습니다. CA 인증서를 선택하고 클릭하여 Edit Trust...신뢰하지 않은 후에는 아무것도 확인되지 않았는지 확인할 수 있습니다.
불신은 인증서가 인증서 관리자에 계속 표시된다는 점을 제외하면 인증서 자체를 삭제하는 것과 동일한 효과를 갖습니다.
자세한 내용은:신뢰 설정 변경
답변2
Firefox에는 코드에 일부 CA가 내장되어 있는 것 같습니다.
에서CA/FAQ:
이러한 사전 로드된 루트 CA 인증서는 나머지 소프트웨어 실행 코드와 함께 사용자 시스템에 설치된 공유 라이브러리 형태로 Mozilla 및 관련 소프트웨어와 함께 배포됩니다. 따라서 새 버전의 소프트웨어가 출시되면 업데이트될 수 있습니다.
미리 로드된 CA 인증서는 다음 파일에 포함되어 있습니다.
- 윈도우: libnssckbi.dll
- Unix, Linux 및 기타 *nix 변형: libnssckbi.so
- 맥 OS X: 목차/MacOS/libnssckbi.dynlib
이것이 삭제하려는 인증서라면 대답은 부정적입니다. 왜냐하면 해당 인증서는 코드에 내장되어 있고 어떤 .db파일에도 저장되지 않기 때문입니다. 이러한 파일을 해킹하려고 시도할 수도 있지만 성공하더라도 Firefox가 새로 출시될 때마다 해킹을 반복해야 합니다.
운영 체제에서 제공되는 인증서로 저장소를 채우는 일을 담당할 수 있는 또 다른 설정을 찾았습니다. 아마도 Windows용으로만 구현되었을 수도 있습니다 security.enterprise_roots.enabled.
현재 이 설정이 어떻게 구현되는지에 대한 정보는 없지만 about:config기사에서는 이 설정이 계속 발전하고 있음이 분명합니다. 귀하의 경우에 설정되어 있는지 테스트하는 것이 좋습니다.
Mozilla 기사에서 CA:Firefox에 루트 추가:
버전 49부터 Firefox는 사용자나 관리자가 Windows 인증서 저장소에 추가한 CA를 자동으로 검색하고 가져오도록 실험적으로 구성할 수 있습니다. 그렇게 하려면 기본 설정을 지정하세요."security.enterprise_roots.enabled" 에게진실. 이 모드에서 Firefox는 TLS 웹 서버 인증을 위한 인증서를 발급하도록 신뢰할 수 있는 CA의
HKLM\SOFTWARE\Microsoft\SystemCertificates레지스트리 위치(API 플래그에 해당 )를 검사합니다 .CERT_SYSTEM_STORE_LOCAL_MACHINE이러한 CA는 Firefox에서 가져오고 신뢰되지만 Firefox의 인증서 관리자에는 표시되지 않을 수도 있습니다. 이러한 CA 관리(예: 신뢰 구성)는 기본 제공 Windows 도구 또는 기타 타사 유틸리티를 통해 수행될 것으로 예상됩니다. 또한 이러한 변경 사항이 Firefox에 적용되려면 기본 설정을 껐다가 다시 켜거나 Firefox를 다시 시작해야 합니다. 이 기능이 발전함에 따라 사용 편의성을 위해 자동으로 처리될 수도 있습니다.