Juste pour compliquer les choses, Linux a plus d'une bibliothèque pour travailler avec des certificats.
Si vous utilisez le NSS de Mozilla, vous pouvez vous méfier activement (leur terminologie) d'un certificat en utilisant le -t trustargs
de certutil. choix :
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Pour Firefox, <path to directory containing database>
est généralement ~/.mozilla/firefox/<???>.profile
où <???>
sont des personnages à la recherche aléatoire. (certutil est par exemple dans le package libnss3-tools d'ubuntu)
La répartition est la suivante :
-M
modifier la base de données
-t p
pour définir la confiance sur Interdit
-n
pour effectuer l'opération sur le certificat nommé
Même au sein du NSS, toutes les applications ne partagent pas la même base de données; vous devrez peut-être répéter ce processus. Par exemple, pour faire la même chose pour Chrome, modifiez le -d <path>
à -d sql:.pki/nssdb/
.
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Cependant, toutes les applications n'utilisent pas NSS, ce n'est donc pas une solution complète. Par exemple, je ne crois pas qu'il soit possible de faire cela avec la bibliothèque OpenSSL.
Par conséquent, toute application qui utilise OpenSSL pour fournir sa chaîne de certificats (TLS, IPSec, etc.) ferait confiance à une chaîne avec un certificat Blue Coat et vous ne pouvez rien y faire à moins de supprimer l'autorité de certification racine qui l'a signé de votre magasin d'ancrage de confiance (ce qui serait idiot étant donné qu'il s'agit d'une autorité de certification racine Symantec car vous finiriez par vous méfier de la moitié d'Internet), tandis que les applications qui reposent sur NSS peuvent être configurées de manière plus granulaire pour se méfier de toute chaîne contenant le certificat Blue Coat .
Par exemple, je pense qu'OpenVPN utilise OpenSSL comme bibliothèque de certificats. Par conséquent, Big Brother pourrait écouter votre trafic OpenVPN à votre insu si vous vous connectez à un fournisseur VPN commercial qui utilise OpenVPN. Si cela vous inquiète vraiment, vérifiez qui est l'autorité de certification racine de votre fournisseur de VPN commercial. Si c'est Symantec/Verisign, il est peut-être temps de les abandonner pour quelqu'un d'autre ?
Notez que SSH n'utilise pas de certificats X509, vous pouvez donc vous connecter et créer un tunnel en utilisant SSH sans vous soucier des attaques Blue Coat MITM.