Aby to nebylo jednoduché, Linux má více než jednu knihovnu pro práci s certifikáty.
Pokud používáte NSS od Mozilly, můžete certifikátu Aktivně nedůvěřovat (jejich terminologii) pomocí certutilu -t trustargs možnost:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Pro Firefox <path to directory containing database> je obvykle ~/.mozilla/firefox/<???>.profile kde <???> jsou nějaké náhodně vypadající postavy. (certutil je např. v balíčku libnss3-tools ubuntu)
Rozdělení je následující:
-M pro úpravu databáze
-t p pro nastavení důvěryhodnosti na Zakázáno
-n k provedení operace na pojmenovaném certifikátu
Ani v rámci NSS nesdílejí všechny aplikace stejnou databázi; takže možná budete muset tento proces zopakovat. Chcete-li například provést totéž pro Chrome, změňte -d <path> na -d sql:.pki/nssdb/ .
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Ne všechny aplikace však používají NSS, takže to není úplné řešení. Například si nemyslím, že je to možné udělat s knihovnou OpenSSL.
V důsledku toho by jakákoli aplikace, která používá OpenSSL k vytvoření svého řetězce certifikátů (TLS, IPSec atd.), důvěřovala řetězci s certifikátem Blue Coat a nemůžete s tím nic dělat, kromě odstranění kořenové CA, která ji podepsala. vaše úložiště ukotvení důvěry (což by bylo hloupé vzhledem k tomu, že se jedná o kořenovou certifikační autoritu Symantec, protože byste nakonec nedůvěřovali polovině internetu), zatímco aplikace, které se spoléhají na NSS, mohou být nakonfigurovány podrobněji, aby nedůvěřovaly jakémukoli řetězci, který má v sobě certifikát Blue Coat .
Například se domnívám, že OpenVPN používá OpenSSL jako svou knihovnu pro certifikáty, takže velký bratr může poslouchat váš provoz OpenVPN bez vašeho vědomí, pokud se připojujete ke komerčnímu poskytovateli VPN, který používá OpenVPN. Pokud vás to opravdu znepokojuje, zkontrolujte, kdo je kořenová certifikační autorita vašeho komerčního poskytovatele VPN – pokud je to Symantec/Verisign, možná je načase dát je někomu jinému?
Upozorňujeme, že SSH nepoužívá certifikáty X509, takže se můžete připojit a tunelovat pomocí SSH, aniž byste se museli obávat útoků Blue Coat MITM.