有检查系统根证书的安软吗？

HEMM

qftest 发表于 2019-9-8 12:03
hips如何鉴定证书是否安全？规则怎么写？

COMODO高级保护，其他项目里我突然看见一个不要删除可疑证书的功能。
我立刻就取勾了，让它删，但.......勾选一秒后我又全关闭了.........这是不是你说的勾选勾选~
他应该指的是利用证书的橙，不是证书本身。
哼~就不能帮我删除过期的证书吗......这功能....嗯.....看来过期不算可疑.....

Kinhold

qftest 发表于 2019-9-8 12:03
hips如何鉴定证书是否安全？规则怎么写？

我可没说用hips去鉴定数签证书，只是想说对一些利用了假数签的文件/程序手动放行与否。

uu005

liumailong 发表于 2019-9-4 09:45
解释一下我的想法吧。
主要是对被注入证书后，系统安全性的担忧

系统证书的作用常用的大概有三个：网站认证，程序签名，驱动签名。

回答一：但凡涉及非对称密码体制的，就两类应用，签名/认证和加（解）密，证书也如此。相关知识在此按下不表。

而另外的两个用途就有问题了，比如用户访问了假冒的QQ 官网，下载了假的 QQ ，然后就被盗号了

回答二：
如果黑客的目标是你的账密，他完全没必要“欺骗”你去导入一个伪造的证书，因为他要是能做到，那他为什么不直接“欺骗”你运行后门？何必多此一举？
不过你假设的攻击场景在理论上是存在的，此为非授权证书攻击，注意不是伪造证书攻击。二者的区别，需要你首先了解 CA（Certificate Authority，证书认证机构） 认证原理和体系。提示一下，全球三十几家根证书颁发机构，每一家都能为任一网站签发有效证书。

当然最好是在被注入前就阻止，但用户总会犯错的，所以需要考虑这种情况。

回答三:
如果你能了解上述回答中提到的知识，你就能明白，你的这一问题很难解决。因为在很多场景下需要自签证书完成认证链（比如金融系统的相互认证），安全软件无从判断一张证书是否被恶意签发（除非拉黑）。Google、Mozilla 牵头维护了一个证书透明度（Certificate Transparency，CT）项目，只是规避非授权证书攻击罢了，原理是验证证书是否是网站所有者授权颁发，并不能解决你的问题。





最后：
你的问题，是没搞清楚自己的需求，你是担心程序往系统里添加别有用心的证书，那么解决这一问题即可。微软有重置受信根证书的疑难解答工具，你怀疑时运行一遍就行；之后可用 Windows Update 更新受信证书列表和吊销证书列表。另外，Github 上有项目，收集了垃圾证书列表，并一直在维护更新，你可以把那些证书全部拉黑。这些工具如何得到，请善用搜索。

请不要回覆，我也不再回答了——我也是闲得，有那功夫，还不如写文档、论文。
以上。