certifikáty sú ako potvrdenie o tom, že správa, ktorá vám bola odoslaná, je originálna a nie je tam narušená. Samozrejme, existujú metódy na falošné potvrdenia, ako je napríklad certifikát spoločnosti Lenovo SuperFish, a o tom budeme rozprávať za chvíľu. Tento článok vysvetľuje čo sú koreňové certifikáty v systéme Windows a mali by ste ich aktualizovať - pretože systém Windows ich vždy zobrazuje ako nekritické aktualizácie.
Ako funguje kryptografia verejného kľúča
Predtým, než začnete hovoriť o koreňových certifikátoch, je potrebné pozrieť sa na to, ako kryptografia funguje v prípade webových rozhovorov, medzi webovými stránkami a prehliadačmi alebo medzi dvoma jednotlivcami vo forme správ.
Existuje mnoho druhov kryptografie, z ktorých sú dve základné a sú používané rozsiahle na rôzne účely.
- Symetrická kryptografia sa používa tam, kde máte kľúč a iba tento kľúč je možné použiť na šifrovanie a dešifrovanie správ (väčšinou používaných v elektronickej komunikácii)
- Asymetrická kryptografia, kde sú dva kľúče. Jeden z týchto kľúčov slúži na šifrovanie správy, zatiaľ čo druhý kľúč sa používa na dešifrovanie správy
Kryptografia verejného kľúča má verejný a súkromný kľúč. Správy je možné dekódovať a šifrovať pomocou jednej z dvoch. Použitie oboch kľúčov je nevyhnutné na dokončenie komunikácie. Verejný kľúč je viditeľný pre všetkých a používa sa na to, aby sa ubezpečil, že pôvod správy je úplne rovnaký, ako sa zdá. Verejný kľúč zašifruje údaje a odošle ich príjemcovi s verejným kľúčom. Príjemca dešifruje údaje pomocou privátneho kľúča. Nadviaže sa vzťah dôvery a komunikácia pokračuje.
Kľúč verejného aj súkromného kľúča obsahuje informácie o Orgán vydávajúci osvedčenia ako napríklad EquiFax, DigiCert, Comodo a tak ďalej. Ak sa váš operačný systém domnieva, že orgán vydávajúci certifikáty je dôveryhodný, správy sa posielajú sem a tam medzi prehliadačom a webovými stránkami. Ak sa vyskytne problém s identifikáciou orgánu vydávajúceho certifikáty, alebo ak vypršal alebo bol poškodený verejný kľúč, zobrazí sa hlásenie Vyskytol sa problém s certifikátom webových stránok.
Teraz hovorí o kryptografii s verejným kľúčom, je to ako banková klenba. Má dva kľúče - jeden s manažérom pobočiek a druhý s užívateľom klenby. Klenba sa otvorí iba vtedy, ak sa používajú a spájajú dve klávesy. Podobne sa používa verejný aj súkromný kľúč pri vytváraní spojenia s ľubovoľnou webovou stránkou.
Čo sú koreňové certifikáty v systéme Windows
Koreňové certifikáty sú primárnou úrovňou certifikácií, ktoré hovoria prehliadaču, že komunikácia je skutočná. Táto informácia, že komunikácia je skutočná, je založená na identifikácii certifikačnej autority. Váš operačný systém Windows pridáva niekoľko koreňových certifikátov ako dôveryhodných, aby ich váš prehliadač mohol použiť na komunikáciu s webovými stránkami.
To tiež pomáha pri šifrovaní komunikácie medzi prehliadačmi a webovými stránkami a automaticky robí platné ďalšie certifikáty. Takto certifikát má veľa pobočiek. Ak je napríklad nainštalovaný certifikát od spoločnosti Comodo, bude mať certifikát najvyššej úrovne, ktorý pomôže webovým prehliadačom komunikovať s webovými stránkami šifrovaným spôsobom. Ako pobočka v certifikáte obsahuje aj Comodo e-mailové certifikáty, ktoré budú automaticky dôveryhodné pre prehliadače a e-mailové klienty, pretože operačný systém označil koreňový certifikát za dôveryhodný.
Koreňové certifikáty určujú, či sa má otvoriť komunikačná relácia s webovou stránkou. Keď webový prehliadač pristupuje k webovej stránke, web ho dáva verejnému kľúču. Prehliadač analyzuje kľúč na to, aby sa zistilo, kto je orgánom vydávajúcim certifikáty, či je autorita dôveryhodná podľa systému Windows, dátum skončenia platnosti certifikátu (ak je certifikát stále platný) a podobné veci pred tým, ako začnete komunikovať s webovou stránkou. Ak niečo nie je v poriadku, dostanete upozornenie a váš prehliadač môže zablokovať všetku komunikáciu s webovou stránkou.
Na druhej strane, ak je všetko v poriadku, správy sa posielajú a prijímajú v prehliadači ako komunikácia. Pri každej prichádzajúcej správe prehliadač tiež kontroluje správu svojim vlastným súkromným kľúčom, aby videl, že to nie je podvodná správa. Odpovedá iba vtedy, ak môže dešifrovať správu pomocou vlastného privátneho kľúča. Preto sú na vykonávanie komunikácií potrebné obidve klávesy. Okrem toho sa všetky komunikácie prenášajú v šifrovanom režime.
Fake root certifikáty
Existujú prípady, keď sa spoločnosti, hackeri atď. Nedávny prípad neplatného certifikátu, ktorý je dôveryhodný ako root, stále robí kola. Toto bol certifikát "SuperFish" v počítačoch Lenovo. Superfish adware nainštaloval koreňový certifikát, ktorý sa zdal byť legitímny a umožňuje prehliadačom komunikovať s webovými stránkami. Šifrovací systém bol však taký slabý, že by ho bolo možné jednoducho nasmerovať.
Spoločnosť Lenovo povedala, že chce zvýšiť skúsenosti používateľov v oblasti nakupovania a namiesto toho vystavila svoje súkromné údaje hackerom na prehliadke na internete. Tieto súkromné údaje môžu byť čokoľvek, vrátane informácií o kreditných kartách, čísla sociálneho poistenia atď. Ak máte zariadenie Lenovo, uistite sa, že nemáte nainštalovaný adware, a to tak, že skontrolujete dôveryhodné certifikáty vo vašich prehliadačoch. Ak existuje, aktualizujte a spustite program Windows Defender, aby ste sa zbavili certifikátu. K dispozícii je tiež nástroj na automatické odstránenie, ktorý spoločnosť Lenovo uvoľňuje.
Môžete skontrolovať nepodpísané alebo nedôveryhodné koreňové certifikáty systému Windows pomocou skenera koreňových certifikátov alebo SigCheck.
záver
Koreňové certifikáty sú dôležité, aby vaše prehliadače mohli komunikovať s webovými stránkami. Ak vymažete všetky dôveryhodné certifikáty zo zvedavosti alebo zostanete v bezpečí, vždy dostanete správu, že máte nedôveryhodné spojenie. Dôveryhodné koreňové certifikáty si môžete stiahnuť pomocou Program Microsoft Root Certifikáty systému Windows, ak si myslíte, že nemáte všetky koreňové certifikáty.
Vždy by ste mali skontrolovať nekritické aktualizácie, aby ste zistili, či sú k dispozícii aktualizácie pre koreňové certifikáty. Ak áno, sťahujte ich iba pomocou služby Windows Update a nie z webových stránok tretích strán.
Existujú aj falošné certifikáty, ale pravdepodobnosť získania falošných certifikátov je obmedzená - len vtedy, keď výrobca vášho počítača pridá jednu do zoznamu dôveryhodných koreňových certifikátov, ako to urobil spoločnosť Lenovo, alebo keď si stiahnete koreňové certifikáty z webových stránok tretích strán. Je lepšie držať sa spoločnosti Microsoft a nechať ju zvládnuť root certifikátov skôr ako sa deje na vlastnú inštaláciu je odkiaľkoľvek na internete. Môžete tiež zistiť, či je dôveryhodný koreňový certifikát otvorením a spustením vyhľadávania na názve orgánu vydávajúceho certifikáty. Ak sa autorita zdá byť pokladaná, môžete ho nainštalovať alebo ju nechať. Ak nemôžete vystaviť certifikačný orgán, je lepšie ho odstrániť.
Po týždni alebo dvoch uvidíme, ako spravovať certifikáty dôveryhodných koreňov.