Nur um es noch schwieriger zu machen, Linux hat mehr als eine Bibliothek für die Arbeit mit Zertifikaten.
Wenn Sie NSS von Mozilla verwenden, können Sie einem Zertifikat Actively Distrust (deren Terminologie) mit -t trustargs von certutil widersprechen Möglichkeit:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Für Firefox <path to directory containing database> ist normalerweise ~/.mozilla/firefox/<???>.profile wobei <???> sind einige zufällig aussehende Zeichen. (certutil ist zB im Paket libnss3-tools von Ubuntu enthalten)
Die Aufschlüsselung ist wie folgt:
-M um die Datenbank zu ändern
-t p um die Vertrauensstellung auf Verboten zu setzen
-n um die Operation auf dem benannten Zertifikat auszuführen
Selbst innerhalb von NSS teilen sich nicht alle Anwendungen dieselbe Datenbank; Daher müssen Sie diesen Vorgang möglicherweise wiederholen. Um beispielsweise dasselbe für Chrome zu tun, ändern Sie den -d <path> bis -d sql:.pki/nssdb/ .
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Allerdings verwenden nicht alle Anwendungen NSS, daher ist dies keine vollständige Lösung. Ich glaube beispielsweise nicht, dass dies mit der OpenSSL-Bibliothek möglich ist.
Infolgedessen würde jede Anwendung, die OpenSSL verwendet, um ihre Zertifikatskette bereitzustellen (TLS, IPSec usw.), einer Kette mit einem Blue Coat-Zertifikat vertrauen, und Sie können nichts dagegen tun, außer die Root-CA zu entfernen, von der sie signiert wurde Ihr Vertrauensankerspeicher (was dumm wäre, wenn man bedenkt, dass es sich um eine Symantec Root CA handelt, da Sie am Ende dem halben Internet misstrauen würden), während Anwendungen, die auf NSS angewiesen sind, granularer konfiguriert werden können, um jeder Kette zu misstrauen, die das Blue Coat-Zertifikat enthält .
Ich glaube zum Beispiel, dass OpenVPN OpenSSL als Bibliothek für Zertifikate verwendet, daher könnte der große Bruder Ihren OpenVPN-Verkehr ohne Ihr Wissen abhören, wenn Sie sich mit einem kommerziellen VPN-Anbieter verbinden, der OpenVPN verwendet. Wenn Sie sich darüber wirklich Sorgen machen, überprüfen Sie, wer die Root-CA Ihres kommerziellen VPN-Anbieters ist – wenn es Symantec/Verisign ist, ist es dann vielleicht an der Zeit, sie für jemand anderen fallen zu lassen?
Beachten Sie, dass SSH keine X509-Zertifikate verwendet, daher können Sie sich mit SSH verbinden und tunneln, ohne sich Gedanken über Blue Coat MITM-Angriffe machen zu müssen.