AbcLinuxu:/ Poradna / Linuxová poradna / Jak z Firefoxu vymažu certifikáty

Štítky: bez, certifikat, nastavení, online, root

Dotaz: Jak z Firefoxu vymažu certifikáty

27.8.2013 18:40 Jardík | skóre: 40 | blog: jarda_bloguje
Jak z Firefoxu vymažu certifikáty

Přečteno: 2251×

Odpovědět | Admin

Jak z Firefoxu vymažu všechny bundlované certifikáty, včetně root certifikátů? Ani jedné CA nevěřím. Zkoušel jsem v Preferences - Advanced, View Certificates, v Others jsem vše smazal, v Authorities jsem dal vše 'Delete or Distrust', což smazalo vše, co není build-in a odstranilo Trust bity ze všeho, co build-in je. V Servers jsem vše smazal. Zdálo se, že to funguje, ale teď se mi otevřela jedna stránka přes HTTPS, aniž bych schválil výjimku, kouknul jsem tedy do nastavení a hle, všechny certifikáty tam jsou zpět, trust bity zase nastaveny a v Servers mám stupidní výjimky v nějakým USERNET network pro špehouny od googlu/hotmailu, ... nic jsem určitě neaktualizoval, neměnil. Ve 'Validation' jsem i odškrtnul použítí nějakýho nedůvěryhodnýho protokolu pro kontrolu platnosti certifikátu online. Jako hlupan jsem se dnes nechal sledovat kompromitovanými weby přes HTTPS. Jak se těch certifikátů zbavím? Aniž bych musel vytvářet vlastní balíčky Firefoxu bez obsažených certifikátů. Chci se jich zbavit per-user, né pro všechny uživatele, sestra by se asi zbláznila, kdyby to na každý stránce ukazovalo neplatný certifikát, ať se klidně nechá sledovat, když chce, ale já nechci.

Věřím v jednoho Boha.

Řešení dotazu:

Komentář #32 (Jardík, 1 hlasů)
Komentář #12 (Jardík, 1 hlasů)

Nástroje: Začni sledovat (1) ?

Odpovědi

28.8.2013 09:11 onno
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Nelze. Jedině sáhnout do zdrojáku a překompilovat si ff. Dle testů, které si dělali uživatelé, nepomůže dokonce ani přeznačení na untrusted root cert. Prohlížeč si je zase potichu re-enabluje. Bezpečnostní mechanismus certifikátů je v prohlížečích záměrně cinknutý.

Se stim smiř!

28.8.2013 16:37 Dát smazat | skóre: 6 | blog: druhá kolej
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Tak jsem se před chvilkou dočetl tadyk, že by mělo stačit přejmenovat soubor "nssckbi.dll" nebo odpovídající *.so v linuxu.

Možná by stačilo zamezit jeho čtení.

7.9.2013 11:28 pedro
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Ano, vypadá to tak. Certifikáty lze "smazat" v preferencies. Po restartu FF jsou tam zpátky, ovšem jako untrusted. Přesto ten mechanismus cinknutý fakt je. Podařilo se mi dostat FF do stavu, kdy se nemohu dostat na https://kernel.org - untrusted certiicate a žádná možnost udělit výjimku ... nechápu. Kompilace ze zdrojáků je asi opravdu jediná relativně čistá možnost. Ve zdrojákách je soubor s CA, ze kterého lze CA vyházet. Pak se zase stane FF velmi nepohodlným. Pokaždé, když se vleze na nový https server, je třeba klikat na výjimku, což je hodně otravné. Nakonec jsem to vyřešil takto - nechal jsem zabudované CA na pokoji, ať si tam jsou a přidal Certificate Patrol. U naprosté většiny webů je mi úplně fuk, jestli jsem na skutečném nebo podvrženém, respektive nepotřebuji SSL. Příkladem může být kernel.org; je mi fuk, odkud si jádro stáhnu. Důležité je, aby seděl gpg podpis. U těch několika málo webů, kde chci mít rozumnou míru jistoty, že nejsem na webu podvrženém, přichází ke slovu Certificate Patrol. Je mi zcela fuk, jakou CA je certifikát podepsán; důležité je, že je to stále ten stejný. Problémem je první návštěva důležitého webu - tam si mohu autentičnost ověřit buď přes CA nebo to prostě poprvé risknout. Dá se i přes TOR - jít na důležitý web přes TOR přes více různých exit nodů a porovnat hash; pak je celkem vysoká míra jistoty, že jsem na správném webu. Tímto způsobem jsem docílil toho, že na nedůležitých webech, jako třeba hledání na google, mě FF neobtěžuje a na těch důležitých by mě v případě nějakého MTM či jiného útoku upozornila Certificate Patrol

7.9.2013 11:47 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Trochu jiny, ale podobny problem jsem vyresil jinak - na "normalni" lozeni po webu mam firefox (s vypnutymi javascripty, s vypnutymi obrazky, bez nainstalovaneho flashe, ...), na lezeni specialni stranky, kde potrebuju javascript, flash, nebo tak, mam seamonkey s nainstalovanyma vsema doplnkama. Navic tyhle dva nespoustim primo, ale prez skript, ktery se prihlasi na jineho uzivatele pro kazdy prohlizec a spusti to pod nim - takze jsou od sebe odriznuti sysatemovymi pravy a nesdili cookies ani nic jineho (a jsou odriznuti i ode me - ja mam pravo jejich adresare cist, oni moje ne. Kdyz neco stahnu, tak si to pak zkopiruju k sobe, ale i kdyby se zblaznili, tak oni si ode me nezkopiruji a neposlou pryc/nesmazou, protoze proste nemaji pravo)

Cili tvuj pripad bych resil dvema uzivateli - jeden na google a spol, druhy na bezpecny pristup

7.9.2013 12:39 pedro
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

, podobnou metodu používám také, jen trochu v jiných souvislostech. Na proxy mám zaříznuté špehování (google analytics, google ads, facebook, googleplus, navrcholu.cz, twitter a mraky dalších podobných) a takto prohlížím "normální" web. Na Facebook mám extra uživatele v obdobné konfiguraci, jakou popisuješ - FB je kapitola sama pro sebe; není snadné se bez něj obejít. No alespoň FB neví, co dělám jinde. Tedy naivně douám, že mám zaříznuté všechny jejich domény.

7.9.2013 17:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Rozšíření jako Ghostery tohle umožňují i v jednom profilu - blokují například Facebook všude na webu kromě stránek Facebooku.

7.9.2013 17:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Pozor na Xka - v rámci X serveru si mohou aplikace posílat eventy. Takže například může Firefox běžící pod jiným uživatelem poslat nějaký příkaz tvému terminálu. Schválně si zkus pod tím jiným uživatelem třeba

sleep 10; xdotool type id;sleep 1; xdotool key Return

a pak se rychle přepni do jiného terminálu a chvilku počkej.

7.9.2013 14:27 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Certifikáty lze "smazat" v preferencies. Po restartu FF jsou tam zpátky, ovšem jako untrusted.

Já s tím smazáním měl právě problém, že certifikáty byly zpět, a byly trusted, nikoliv untrusted. Nevím proč, zkoušel jsem to několikrát. Musel jsem ručně dát "Edit trust" u každé CA.

Příkladem může být kernel.org; je mi fuk, odkud si jádro stáhnu. Důležité je, aby seděl gpg podpis.

Ale ten gpg podpis musíš někde vzít a pokud si nejsi jistý správností certifikátu, nevíš, jestli GPG podpis tarbalu není taky podvržený.

Věřím v jednoho Boha.

7.9.2013 17:28 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Já s tím smazáním měl právě problém, že certifikáty byly zpět, a byly trusted, nikoliv untrusted. Nevím proč, zkoušel jsem to několikrát. Musel jsem ručně dát "Edit trust" u každé CA.

U mně stejné.

Nechcete někdo udělat fork Firefoxu, kde budou defaultně povypínané podobné sračky?

10.9.2013 17:52 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Certificate patrol se mi zdá nějak nefunkční, resp. polofunkční. Pokud dám všechny CA na 'untrusted' a smažu vlastní výjimky, tak se nikam nepřipojím, a Certificate Patrol mi nenabídne přidat výjimku, musím ji přidat v Servers ručně, jako když CA patrol není nainstalován. Pokud to ale tak udělám, tak se mi to na server připojí, ukáže to stránku a teprve potom se mě CA patrol ukáže 'Nový certifikát přijat ... Accept-Reject', když dám Reject, tak mi ze Servers výjimku nesmaže, když dám Accept, tak si ho přidá do vlastní záložky. Tedy pokud certifikát nepřijmu, stejně to tu stránku načte, jenom to nahoře ukáže tu lištu. Ale já chci zabránit celému načtení, informace o špatném certifikátu mi je k ničemu, když to stránku načte a klidně jí to pošle GET/POST data, atd.

Věřím v jednoho Boha.

28.8.2013 09:37 onno
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

BTW, v linksu je možno zvolit vlastní pem soubor (v menu options) - a do něj si zkopírovat obsah /etc/pki/tls/cert.pem, vyhodit si z toho autority, kterým nevěříš a je to.

28.8.2013 13:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Nejde je odstranit, jde "Edit Trust" a odškrtnout všechno.

28.8.2013 13:54 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

To právě taky nejde. To 'Delete and untrust' maže nezabudované a maže ty trust bity (tj to samé, čeho dosáhnu s Edit Trust) u zabudovaných. Po restartu prohlížeče je vše zpět.

Věřím v jednoho Boha.

28.8.2013 14:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Povedlo se mi pomocí označení certifikátu (ne autority) The GoDaddyNěco a odškrtnutí checkboxů zařídit, aby AbcLinuxu bylo nedůvěryhodné. I po restartu. FF 17.

28.8.2013 15:31 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Hmm, tak jsem použil 'Edit Trust' a nějak hodinu odškrtával políčka u všech certifikátů a nějakým zázrakem to přežilo restart. Ještě chvílu počkám, jestli to Firefox nějak sám nevrátí nazpět.

Věřím v jednoho Boha.

28.8.2013 15:34 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

BTW když např. abíčko má certifikát od GoDaddy, GoDaddy může provést man-in-the-middle útok podvržením jiného certifikátu že? Pokud schválím per-server výjimku pro ábíčko a GoDaddy mám jako untrustet, tak stále mají privátní klíč abíčka a mohou to udělat??

Věřím v jednoho Boha.

28.8.2013 15:38 Dát smazat | skóre: 6 | blog: druhá kolej
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

To se mi nezdá. IMHO může GoDaddy vystavit sám sobě nebo jinému jiný certifikát na stejnou doménu... to by se ale projevilo změnou fingerprintu - takže jde spíš o to jak se zachová firefox, když se fingerprint změní (imho nijak, ale jsou na to pluginy).

28.8.2013 16:43 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Zkusím formulovat jinak. Vystaví GoDaddy ábíčku certifikát, tj abíčko dostane soukromý a veřejný certifikát od nich, nebo to funguje tak, že si vytvoří svůj certifikát a jen nechají od CA podepsat ten veřejný? V prvním případě mají znalost soukromého a je to tedy hrozba, v druhém ne.

Věřím v jednoho Boha.

28.8.2013 16:54 Dát smazat | skóre: 6 | blog: druhá kolej
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Privátní klíč nejde z ruky. Jen se jím podepíše CSR. (Teda necítím se silný v kramflecích... teprv se začínám orientovat. Ale i klíče k "blbým" SMIME certifikátům se u CACertu a Comoda při automatickém generování CSR generují a ukládají do prohlížeče.)

28.8.2013 17:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Privátní klíč nejde z ruky. Jen se jím podepíše CSR.

Přesně tak. Klíč si vygeneruješ u sebe a CA pošleš jenom CSR.

Existují CA (StartSSL), které ti i vygenerují klíč, ale to snad nikdo soudný nepoužívá.

28.8.2013 17:20 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Ok, já se bál, že by snad právě nějaké CA mohlo třeba vládě dát privátní klíč nějakého jejich zákazníka. I když např. špehouni jako Google jim ten klíč asi předhazují dobrovolně.

Věřím v jednoho Boha.

28.8.2013 15:37 potato
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

To mě překvapuje, že funguje, pokud stále platí toto: https://bugzilla.mozilla.org/show_bug.cgi?id=585352

Řešení 1× (Jardík (tazatel))

28.8.2013 16:53 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

No já jsem v záložce 'Authorities' prostě dal 'Edit trust' a vše odškrtal u všech, je to zdlouhavá práce, pro každý se zobrazí extra dialog. Tlačítko 'Delete or distrust' by mělo dělat asi to samé, problém s ním je, že 'Delete or distrust' mi funguje jen dokud nerestartuju Firefox. HTTPS mi teď "nefunguje", dokud nepřidám výjimku pro daný server. Ale ještě počkám, než si udělám nějaké závěry, aby Firefox třeba náhodně neauktualizoval certifikáty proti serverům mozilly a nenastavil to zpátky. Proč si myslet, že Firefox automaticky stahuje/aktualizuje certifikáty? Protože mi to pořád dává do záložky 'Servers' výjimky z nějakýho 'USERTRUST network' pro hotmail, google, skype, ... naštěstí když u nich dám 'Edit trust', tak mi to ukazuje, že jsou nedůvěryhodné, protože mám nastaveny jejich CA jako nedůvěryhodné. Ale už jen to, že mi je to přidává k výjimkám, mě deptá.

Věřím v jednoho Boha.

6.9.2013 10:44 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Tak zůstává to teda nastavený, funguje. Akorát by mohl být problém po aktualizaci, že to přidá novou CA a nedá mi to vědět ... musím to pořešit.

Věřím v jednoho Boha.

12.9.2013 01:41 jadd | skóre: 34 | blog: Greenhorn
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Příloha:

Snímek obrazovky pořízený 2013-09-12 01:40:48.png (53062 bytů)

Máš v Archu něco jako debconf?

12.9.2013 01:50 jadd | skóre: 34 | blog: Greenhorn
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Příloha:

Snímek obrazovky pořízený 2013-09-12 01:47:42.png (65212 bytů)

Aby bylo jasné, pro Firefox

12.9.2013 17:16 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Nemám. Každopádně to potřebuji nastavit per-user, kvůli dalším osobám používajícím ten počítač, nikoliv systémově.

Věřím v jednoho Boha.

12.9.2013 18:15 jadd | skóre: 34 | blog: Greenhorn
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Tak to asi budeš muset jen v tom Firefoxu, about:config + cert si prohlížel? Může s tím mít co dočinění Seahorse?

12.9.2013 18:43 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Jinak v /etc/ca-certificates.conf mi stačí zakomentovat všechno, spustit ca-certificates-update a certifikáty jsou pryč ze všech aplikací. Ještě udělám nový firefox profil, jestli to bude taky respektovat (jestli v libnss nebo jak se to jmenuje, nejsou hardcodované). Ale každopádně bych potřeboval něco takovýho per-user, a né jenom ve Firefoxu a nastavovat každou aplikaci zvlášť mi nepřijde reálné, a např. takový akregator mě nenechá nastavit nic a pokud nejsou systémové certifkáty, tak nefunguje pro SSL protože mě nenechá přidat výjimku. Ještě to musím pořešit, všechno by bylo snadnější, kdyby lidi neměli potřebu špehovat.

Věřím v jednoho Boha.

12.9.2013 21:58 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Hmm, zdá se, že Akregator po smazání certifikátů totálně sní veškerou pamět při pokusu o připojení k https serveru, cca 10M/s.

Věřím v jednoho Boha.

Řešení 1× (OldFrog {Ondra Nemecek})

12.9.2013 22:05 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Takže firefoxí certifikáty jsou built-in v tý nss knihovně, smazání systémových nemá vůbec vliv na firefox, funguje to jen na webkití browsery, který čtou ty systémové.

Věřím v jednoho Boha.

12.9.2013 18:44 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty

Pak věř chlapovi co rodí…

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

Založit nové vlákno • Nahoru

Tiskni Sdílej: