Jak zakázat certifikační autoritu, které nevěříte (eDellRoot)

25. 11. 2015 | Jindřich Zechmeister

Kvůli riziku zneužití kořenové autority eDellRoot znovu vydáváme článek s návodem na zakázání kořenové autority. Root certifikát eDellRoot najděte a zakažte všechny účely jeho použití, nebo ho z úložiště smažte. Do té doby riskujete Man in the middle útok nebo riziko napadení podepsaným malwarem.

(Aktualizováno) Kořenový certifikát je pro počítač absolutně důvěryhodný. Dell zpřístnupnil privátní klíč k certifikátu, se kterým můžete vydávat další certifikáty a podepisovat soubory. Útočník si tedy může vydat certifikát pro jakoukoliv doménu a tento bude pro uživatele počítačů Dell s kořenovým certifikátem eDellRoot důvěryhodný. Pokud váš prohlížeč používá certificate store systému Windows, neochrání vás ani fakt, že certifikát není vystaven renomovanou certifikační autoritou. Výjimkou je pouze Firefox na Windows, který má vlastní seznam kořenových CA. 

Zdali jste ohroženi zjistíte v testu Rogue Dell Root CA Client Test. Pokud ano. rychlým řešením rizika je smazání kořenové CA eDellRoot. Nedoporučujeme čekat až na oficiální opravu od výrobce. Níže najdete postup, jak to učinit.

Některé certifikační autority nejsou důvěryhodné

Google zaznamenal falešné certifikáty pro své domény, tedy takové, které byly vydány bez jeho vědomí. Původní informace najdete v článku Google Warns Of Unauthorised Security Certificates In Latest Breach.

Falešné certifikáty vydala čínská certifikační autorita CNNIC. Tento problém vyvolává otázky nad důvěryhodností některých autorit. V Číně tato autorita pravděpodobně vystavuje i certifikáty pro sledování čínských uživatelů internetu, proto není důvod ji v našich podmínkách používat. I když je tato certifikační autorita v prohlížečích a Windows důvěryhodná, používat ji nemusíte.

Zakažte kořenovou CA v úložišti certifikátů

Seznam kořenových certifikátů ve Windows najdete takto: Start -> MMC, stiskněte Ctrl+M -> vybrat certifikáty a účet počítače -> OK. Ve složce Kořenové certifikační autority najděte CNNIC ROOT (resp eDellRoot), klikněte pravým myšítkem, vyberte Vlastnosti a pro tento certifikát Zakažte všechny účely (viz screenshot).

Nyní nebude tato certifikační autorita důvěryhodná pro systém a prohlížeče Chrome a Internet Explorer. Používáte-li Firefox, je nutné zakázání certifikátu provést přímo v tomto programu. Firefox totiž používá vlastní seznam kořenových certifikačních autorit a nespoléhá na operační systém.

Možnost najdete v nabídce Možnosti - Rozšířené - Certifikáty - Autority. Kořenový certifikát můžete rovnou smazat a Firefox mu nebude důvěřovat.

Certifikačních autorit jsou na světě desítky

Firem vydávajících certifikáty jsou na světě desítky, stejně jako firem, které mají vlastní certifikační autoritu od nějaké větší zavedené autority (Google pod GeoTrustem). Často certifikáty vydávají i vládní subjekty. Je proto důležité vybrat pro svůj web autoritu důvěryhodnou. Největší prodejce SSL certifikátů v ČR - SSLmarket - má v nabídce pouze 4 největší a nejdůvěryhodnější autority na světě. U nich nemusíte mít žádné pochybnosti.

Existuje několik seznamů podporovaných kořenových certifikačních autorit, kterým důvěřuje určitý systém. Nejznámějším je seznam kořenových CA v systému Windows, který se jmenuje Microsoft Root Certificate Program.

Jak jsem již uvedl, v jiných systémech jiných výrobců jsou kořenové certifikáty jiné. Pokud byste vybrali certifikát od méně známé autority, musíte si manuálně ověřit, jestli vámi zvolená jiná certifikační autorita má kořenový certifikát v Linuxu (balík ca-certificates) , iOS (Apple zařízení), Androidu (Settings -> Security -> Trusted credentials v zařízení), Firefoxu a nakonec i v Adobe Approved Trust List.

Certifikáty od SSLmarketu jsou důvěryhodné všude a proto je nejjednodušší zvolit jeden z naší nabídky.