İşleri zorlaştırmak için, Linux'un sertifikalarla çalışmak için birden fazla kütüphanesi vardır.
Eğer Mozilla'nın NSS kullanıyorsanız yapabilirsiniz Aktif Güvensizlik (kendi terminoloji) kullanarak bir sertifika Certutil s' -t trustargs
seçeneği:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Firefox için, <path to directory containing database>
genellikle rastgele görünen karakterlerin ~/.mozilla/firefox/<???>.profile
olduğu yerdir <???>
. (certutil örneğin ubuntu'nun libnss3-tools paketindedir)
Arıza aşağıdaki gibidir:
-M
veritabanını değiştirmek için
-t p
güveni Yasaklanmış olarak ayarlamak
-n
belirtilen sertifika üzerinde işlem yapmak
NSS içinde bile, tüm uygulamalar aynı veritabanını paylaşmaz; bu yüzden bu işlemi tekrarlamanız gerekebilir. Örneğin, Chrome için aynısını yapmak için olarak -d <path>
değerini değiştirin -d sql:.pki/nssdb/
.
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Ancak, tüm uygulamalar NSS kullanmaz, bu yüzden bu tam bir çözüm değildir. Örneğin, bunu OpenSSL kütüphanesi ile yapmanın mümkün olduğuna inanmıyorum.
Sonuç olarak, sertifika zinciri oluşturma (TLS, IPSec vb.) Sağlamak için OpenSSL kullanan herhangi bir uygulama, Blue Coat sertifikasına sahip bir zincire güvenir ve imzalayan Kök CA'yı kaldırmadan kısa sürede yapabileceğiniz hiçbir şey yoktur. güven çapa deponuz (Internet'in yarısını güvensiz hale getirdiğiniz için bir Symantec Kök CA'sı olarak aptalca kabul edilir), NSS'ye dayanan uygulamalar, içinde Blue Coat sertifikasına sahip herhangi bir zinciri güvenmeyecek şekilde daha ayrıntılı yapılandırılabilir. .
Örneğin, OpenVPN'in sertifikalar için kütüphane olarak OpenSSL kullandığına inanıyorum, bu nedenle ağabey OpenVPN kullanan ticari bir VPN sağlayıcısına bağlanıyorsanız sizin haberiniz olmadan OpenVPN trafiğinizi dinliyor olabilir. Bu konuda gerçekten endişeleniyorsanız, ticari VPN sağlayıcınızın Kök CA'sının kim olduğunu kontrol edin - eğer Symantec / Verisign ise, belki başka biri için onları terk etmenin zamanı geldi mi?
SSH'nin X509 sertifikaları kullanmadığından, Blue Coat MITM saldırıları hakkında endişelenmeden SSH kullanarak bağlanıp tünel oluşturabileceğinizi unutmayın.