Windows показывает неполный список всех доверенных корневых сертификатов

Windows не предоставляет графический интерфейс для просмотра полного перечня. ИБ-исследователь Фирас Салем (Firas Salem) поведал, что главный центр сертификатов Windows Certificate Trust List (CTL) есть основным источником всех корневых сертификатов, которым совокупность доверяет по умолчанию.

В отличие от CTL, диспетчер сертификатов certmgr.msc показывает значительно меньшее число сертификатов, считающихся «Доверенными корневыми центрами сертификации» (Trusted Root Certification Authorities) совокупности. В действительности, отмечает Салем, настоящий перечень сертификатов хранится в непонятном формате «глубоко» в совокупности, и Windows не предоставляет графический интерфейс для просмотра полного перечня.

Начиная с версии ОС Windows Vista, разработчиками был добавлен новый механизм автообновления AutoUpdate, что разрешает загружать доверенные корневые сертификаты при первой же активации совокупности. Салем отмечает, что Windows показывает не все информацию о сертификатах, благодаря чего многие пользователи а также опытные ИБ-специалисты ошибочно считают, что ОС доверяет не более двум десяткам центрам корневых сертификатов, когда на деле их много.

Салем предлагает совершить несложный тест. Нужно открыть certmgr.msc, перейти к «Доверенным корневым центрам сертификации» и обратить внимание на отсутствие центра сертификации OpenTrust Root CA G3. Потом, отмечает специалист, необходимо через браузер Chrome либо MSIE зайти на https://opentrustrootcag3-test.opentrust.com/ - это нужно чтобы браузер установил защищенное соединение SSL. В случае если пользователь пристально «разглядит» SSL-сертификат, то увидит, что он был подписан OpenTrust Root CA G3, которого не было в перечне «Доверенных корневых центров сертификации».