Сотрудник отдела безопасности финансовой компании BNP Paribas Investment Partners Фирас Салем (Firas Salem) обратил внимание на странное поведение операционной системы Windows, а конкретно — наличие нескольких списков доверенных сертификатов. Основной список Windows Certificate Trust List (CTL) содержит все источники корневых сертификатов, которым система доверяет по умолчанию.

Для сравнения, в старом добром certmgr.msc показана только малая часть этого списка, которая гордо преподносится как «Доверенные корневые центры сертификации». Настоящий список спрятан в глубине системы, в странном формате, и Windows даже не предоставляет графического интерфейса для доступа к нему. А попробуй найти что-нибудь среди системных файлов, если папка \Windows после после чистой установки Windows 10 содержит 84 000 файлов и 50 000 папок.

Начиная с версии Windows Vista в систему добавлен механизм автоматического обновления AutoUpdate, который скрытно скачивает новый список доверенных корневых центров сертификации с удаленного сервера.

Поскольку в certmgr.msc система показывает неполную информацию, то простые пользователи и даже некоторые эксперты по компьютерной безопасности наивно полагают, что Windows доверяет всего десятку-другому центров сертификации. На самом деле счет идет на сотни.

Специалист предлагает простой способ проверить, как Windows «химичит» с сертификатами. Если открыть certmgr.msc, то можно убедиться, что в нем отсутствует центр сертификации «OpenTrust Root CA G3». Далее заходим браузером IE или Chrome на https://opentrustrootcag3-test.opentrust.com/ — и браузер устанавливает защищённое соединение SSL. По нажатию на значок SSL выводится информация, что сертификат выдан центром «OpenTrust Root CA G3», которого вообще-то не было в списке.

Снова открываем certmgr.msc — и пожалуйста, там уже есть «OpenTrust Root CA G3». Каким образом? Да потому что Windows и раньше считала его доверенным центром и он был в списке CTL.

Таким образом, при работе с Windows нужно иметь в виду, что certmgr.msc содержит неполную информацию.

Совершенно непонятно, говорит Фирас Салем, зачем в Windows реализовали такую запутанную систему с хранением двух списков корневых сертификатов, один из которых неполный, а другой (полный) спрятан от просмотра. Можно предположить, что это сделано для удобства пользователей.

1 комментарий

  1. Аватар

    norman_14

    02.09.2015 at 11:13

    Похоже у кого-то из Майкрософт съехала крыша и он намеревается установить мировое господство — хорошо если только над информацией. А то вдруг идут какие псих.исследования на предмет частот мерцаний, сочетаний цветов и зомбирования?

Оставить мнение