Просто, чтобы усложнить задачу, в Linux имеется несколько библиотек для работы с сертификатами.
Если вы используете Mozilla NSS, вы можете активно Недоверие (их терминология) справка с использованием CertUtil «s -t trustargs
варианта:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Для Firefox, <path to directory containing database>
как правило , ~/.mozilla/firefox/<???>.profile
где <???>
некоторые случайные выглядящие персонажи. (certutil находится, например, в пакете libnss3-tools для Ubuntu)
Разбивка выглядит следующим образом:
-M
изменить базу данных
-t p
установить доверие к Запрещено
-n
провести операцию по названному сертификату
Даже в NSS не все приложения используют одну и ту же базу данных; поэтому вам, возможно, придется повторить этот процесс. Например, чтобы сделать то же самое для Chrome, измените -d <path>
к -d sql:.pki/nssdb/
.
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Однако не все приложения используют NSS, поэтому это не полное решение. Например, я не верю, что это возможно сделать с помощью библиотеки OpenSSL.
Как следствие, любое приложение, которое использует OpenSSL для обеспечения своей цепочки сертификатов (TLS, IPSec и т. Д.), Будет доверять цепочке с сертификатом Blue Coat, и вы ничего не можете с этим поделать, кроме удаления корневого ЦС, подписавшего его ваше хранилище доверия (что было бы глупо, учитывая, что это Symantec Root CA, так как в конечном итоге вы не доверяете половине Интернета), тогда как приложения, использующие NSS, можно настроить более детально, чтобы не доверять любой цепочке, имеющей сертификат Blue Coat. ,
Например, я считаю, что OpenVPN использует OpenSSL в качестве библиотеки для сертификатов, поэтому старший брат может прослушивать ваш трафик OpenVPN без вашего ведома, если вы подключаетесь к коммерческому провайдеру VPN, который использует OpenVPN. Если вы действительно обеспокоены этим, то проверьте, кто является корневым центром сертификации вашего коммерческого VPN-провайдера - если это Symantec / Verisign, то, может быть, пришло время отказаться от них для кого-то еще?
Обратите внимание, что SSH не использует сертификаты X509, поэтому вы можете подключаться и туннелировать, используя SSH, не беспокоясь о атаках Blue Coat MITM.
Я пока не могу комментировать, поэтому я должен прокомментировать здесь, что в Ubuntu Gnome 15.10, когда я использую подход @ garethTheRed, я получаю:
"Blue Coat Systems, Inc." тоже не работает.
(Это сертификат, который я импортировал: https://crt.sh/?id=19538258 )
источник