Уязвимость самозаверяющего сертификата SSL продолжает возвращаться

Question

Уязвимость самозаверяющего сертификата SSL продолжает возвращаться

Итак, я имел дело с повторяющейся проблемой с моими рабочими станциями, генерирующими сертификаты. Они появляются в "Личном" хранилище сертификатов. Даже после того, как я вручную удаляю их с машин, они неизбежно продолжают возвращаться.

Мы не используем самозаверяющие сертификаты ни для чего. Все наши сертификаты поступают из проверенного центра сертификации.
Это не уязвимость Splunk Heartbleed.

Это уязвимость, которая постоянно появляется при сканировании Nessus, и я пытаюсь понять, почему рабочая станция генерирует свой собственный сертификат. Есть ли конкретное событие? Есть ли способ остановить это? Я искал это до изнеможения, и я не могу получить четкий ответ.

Кто-нибудь из вас сталкивался с этой проблемой?

0

ssl-certificate self-signed-certificate nessus

Источник

Eric Gibson 20 июл '18 в 01:59

2 ответа

Решение

AFAIK все компьютеры будут автоматически создавать свои собственные сертификаты. Это связано с тем, что у них есть сертификат, который они могут использовать всякий раз, когда требуются сертификаты, и не были настроены иным образом HTTPS например.

Если вы не используете самозаверяющие сертификаты для важных целей аутентификации, то они не причинят никакого вреда.

Ваши сканы дают вам ложный положительный результат.

0

Источник

OzPHB 20 июл '18 в 07:51

Другие вопросы по тегам ssl-certificate self-signed-certificate nessus

Harry Johnston 24 июл '18 в 00:06 2018-07-24 00:06 · Accepted Answer · 2018-07-24 00:06

Когда вы подключаетесь к компьютеру через удаленный рабочий стол, он должен сгенерировать сертификат для использования при проверке подлинности этого подключения. По умолчанию эти сертификаты являются самозаверяющими.

(Я озадачен тем, почему эти сертификаты первоначально обнаруживались в личном хранилище, а не в хранилище удаленного рабочего стола.)

Во всяком случае, это не совсем ложный позитив. Использование неподписанных сертификатов потенциально подвергает вас атакам MitM против ваших подключений к удаленному рабочему столу. Вам нужно будет решить, является ли это приемлемым уровнем риска.

KB2001849 описывает, как установить правильно подписанный сертификат.

В этой статье Let's Encrypt описывается, как создать и установить сертификат Let's Encrypt. (NB: это было написано для Windows Server; я не уверен, будет ли это также работать на клиенте Windows 10.)