ИБ-исследователь Фирас Салем (Firas Salem) рассказал, что основной центр сертификатов Windows Certificate Trust List (CTL) является главным источником всех корневых сертификатов, которым система доверяет по умолчанию. В отличие от CTL, диспетчер сертификатов certmgr.msc показывает гораздо меньшее число сертификатов, считающихся “Доверенными корневыми центрами сертификации” (Trusted Root Certification Authorities) системы. На самом деле, отмечает Салем, реальный список сертификатов хранится в непонятном формате “глубоко” в системе, и Windows не предоставляет графический интерфейс для просмотра полного списка.
Начиная с версии ОС Windows Vista, разработчиками был добавлен новый механизм автообновления AutoUpdate, который позволяет загружать доверенные корневые сертификаты при первой же активации системы. Салем отмечает, что Windows показывает не все данные о сертификатах, вследствие чего многие пользователи и даже профессиональные ИБ-эксперты ошибочно полагают, что ОС доверяет не более двум десяткам центрам корневых сертификатов, когда на деле их сотни.
Салем предлагает провести простой тест. Необходимо открыть certmgr.msc, перейти к “Доверенным корневым центрам сертификации” и обратить внимание на отсутствие центра сертификации OpenTrust Root CA G3. Затем, отмечает эксперт, нужно через браузер Chrome или Internet Explorer зайти на https://opentrustrootcag3-test.opentrust.com/ – это необходимо для того, чтобы браузер установил защищенное соединение SSL. Если пользователь внимательно “рассмотрит” SSL-сертификат, то заметит, что он был подписан OpenTrust Root CA G3, которого не было в списке “Доверенных корневых центров сертификации”.
Открыв certmgr.msc, можно увидеть, что OpenTrust Root CA G3 без каких-либо разрешений и подсказок появился в списке. Вероятно, что сертификат ранее уже был добавлен в CTL. Таким образом можно выяснить, что certmgr.msc содержит неполную информацию, заявляет Салем. (Microsoft/NovostIT)