Hanya untuk mempersulit, Linux memiliki lebih dari satu perpustakaan untuk bekerja dengan sertifikat.
Jika Anda menggunakan NSS Mozilla, Anda dapat Secara Aktif Tidak Mempercayai (terminologinya) sertifikat menggunakan -t trustargs
certutil opsi:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Untuk Firefox, <path to directory containing database>
biasanya ~/.mozilla/firefox/<???>.profile
di mana <???>
adalah beberapa karakter yang tampak acak. (certutil misalnya dalam paket libnss3-tools ubuntu)
Perinciannya adalah sebagai berikut:
-M
untuk memodifikasi basis data
-t p
untuk menyetel kepercayaan ke Dilarang
-n
untuk melakukan operasi pada sertifikat bernama
Bahkan di dalam NSS, tidak semua aplikasi berbagi database yang sama; jadi Anda mungkin harus mengulangi proses ini. Misalnya, untuk melakukan hal yang sama pada Chrome, ubah -d <path>
ke -d sql:.pki/nssdb/
.
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Namun, tidak semua aplikasi menggunakan NSS, jadi ini bukanlah solusi yang lengkap. Misalnya, saya tidak yakin hal ini dapat dilakukan dengan pustaka OpenSSL.
Akibatnya, aplikasi apa pun yang menggunakan OpenSSL untuk menyediakan pembuatan rantai sertifikatnya (TLS, IPSec, dll.) akan mempercayai rantai dengan sertifikat Blue Coat dan tidak ada yang dapat Anda lakukan selain menghapus Root CA yang menandatanganinya dari toko jangkar kepercayaan Anda (yang konyol mengingat ini adalah Symantec Root CA karena Anda akhirnya tidak mempercayai setengah Internet), sedangkan aplikasi yang mengandalkan NSS dapat dikonfigurasi lebih terperinci untuk tidak mempercayai rantai apa pun yang memiliki sertifikat Blue Coat di dalamnya. .
Sebagai contoh, saya percaya OpenVPN menggunakan OpenSSL sebagai perpustakaannya untuk sertifikat, oleh karena itu kakak dapat mendengarkan lalu lintas OpenVPN Anda tanpa sepengetahuan Anda jika Anda terhubung ke penyedia VPN komersial yang menggunakan OpenVPN. Jika Anda benar-benar khawatir tentang hal itu, periksa siapa Root CA penyedia VPN komersial Anda - jika itu adalah Symantec/Verisign, mungkin sudah waktunya membuangnya untuk orang lain?
Perhatikan bahwa SSH tidak menggunakan sertifikat X509 sehingga Anda dapat terhubung dan melakukan tunnel menggunakan SSH tanpa mengkhawatirkan serangan Blue Coat MITM.