Giusto per rendere le cose difficili, Linux ha più di una libreria per lavorare con i certificati.
Se stai usando l'NSS di Mozilla, puoi Diffidare attivamente (la loro terminologia) di un certificato usando l' opzione di certutil-t trustargs
:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Per Firefox, di <path to directory containing database>
solito è ~/.mozilla/firefox/<???>.profile
dove ci <???>
sono alcuni personaggi dall'aspetto casuale. (certutil è ad es. nel pacchetto libnss3-tools di ubuntu)
La ripartizione è la seguente:
-M
per modificare il database
-t p
per impostare la fiducia su Proibito
-n
per eseguire l'operazione sul certificato indicato
Anche all'interno di NSS, non tutte le applicazioni condividono lo stesso database; quindi potresti dover ripetere questo processo. Ad esempio, per fare lo stesso con Chrome, modifica -d <path>
in -d sql:.pki/nssdb/
.
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Tuttavia, non tutte le applicazioni utilizzano NSS, quindi questa non è una soluzione completa. Ad esempio, non credo sia possibile farlo con la libreria OpenSSL.
Di conseguenza, qualsiasi applicazione che utilizza OpenSSL per fornire la sua costruzione di catene di certificati (TLS, IPSec ecc.) Si fiderebbe di una catena con un certificato Blue Coat e non c'è nulla che tu possa fare al di fuori della rimozione della CA principale da cui l'ha firmata il tuo negozio di ancoraggio di fiducia (che sarebbe sciocco considerando che è una CA radice di Symantec poiché finiresti per diffidare di metà di Internet), mentre le applicazioni che si basano su NSS possono essere configurate in modo più granulare per diffidare di qualsiasi catena che ha il certificato Blue Coat al suo interno .
Ad esempio, credo che OpenVPN utilizzi OpenSSL come libreria per i certificati, quindi il fratello maggiore potrebbe ascoltare il tuo traffico OpenVPN a tua insaputa se ti connetti a un provider VPN commerciale che utilizza OpenVPN. Se sei davvero preoccupato per questo, controlla chi è la CA principale del tuo provider VPN commerciale - se è Symantec / Verisign, allora forse è il momento di abbandonarli per qualcun altro?
Nota che SSH non utilizza i certificati X509, quindi puoi connetterti e creare tunnel usando SSH senza preoccuparti degli attacchi Blue Coat MITM.