Самоподписанные SSL сертификаты теперь валидны?

Question

[Rostik-Quantor]

На ПК залетел вирус wup.exe, который не хотел удаляться. Я поставил ESET NOD32 Internet Security и отчистил вирус. И вот я пытаюсь зайти на свой сайт, поднятый на nginx. Смотрю сертификат и вижу в пути сертификации вместо Let's Encrypt Authority X3 - ESET SSL Filter CA. Что это такое? Получается я могу сам выпустить сертификат SSL и он попадёт в данное хранилище и будет отображать зелёный замочек в браузере?!
Объясните, пожалуйста, что это!

Answer 1

[Wexter]

Что это такое? Получается я могу сам выпустить сертификат SSL и он попадёт в данное хранилище и будет отображать зелёный замочек в браузере?!

Это сертификат от ESET, вы его сами поставили когда ставили nod32 (так сказать сам себе злобный дятел). Чисто для себя можете сгенерировать сертификат и добавить себя как издателя в доверенные, на вашем компе работать будет. На других не будет пока руками не добавите

Comments

[Rostik-Quantor]

Wexter,

(так сказать сам себе злобный дятел)

Это почему-же ещё?

Чисто для себя можете сгенерировать сертификат и добавить себя как издателя в доверенные, на вашем компе работать будет. На других не будет пока руками не добавите

Я имел в виду другое.
Получается ESET подменивает сертификат для сайта и можно любой сертификат поставить и на выходе он будет сертификатом ESET и всегда доверенный! Так или нет?

[Wexter]

Rostik-Quantor,

Получается ESET подменивает сертификат для сайта и можно любой сертификат поставить и на выходе он будет сертификатом ESET и всегда доверенный! Так или нет?

ESET прогоняет весь трафик через себя, своим сертификатом он дешифрует HTTPS чтобы смотреть что там ходит, а дальше тупо проксирует куда надо.

Answer 2

[CityCat4]

Это корневой сертификат ESET, его поставил скорее всего Дядя Нодь (Даня, не ржи, есть такая фамилия). Теперь любой сертификат, выпущенный данным CA (нодовским) будет на твоем компе валидным. Можно его убрать из хранилища "Доверенные корневые сертификаты") - тогда все выпущенные им сертификаты валидными быть перестанут, но и Дядя Нодь может перестать работать.
Зачем это ему? Таким образом он перехватывает SSL-траффик, локальный MitM

Comments

[Rostik-Quantor]

CityCat4,

Это корневой сертификат ESET

Это ясно. И судя по всему сертификат самоподписанный.

его поставил скорее всего Дядя Нодь

NOD - это фамилии разработчика?

Теперь любой сертификат, выпущенный данным CA (нодовским) будет на твоем компе валидным.

То есть NOD CA не признаётся браузерами и операционными системами, только если есть антивирус.

Зачем это ему? Таким образом он перехватывает SSL-траффик, локальный MitM

Там есть фильтрация почты от смапа. Видимо, ему по барабану на шифрование и он сканирует все сообщения дешифруя траффик.

А как у Нодя обстоят дела с телеметрией?! Следит ли Нодь за расшифрованным SSL трафиком?! Отсылает ли Нодь трафик в ФБР или ЦРУ США?

[CityCat4]

Rostik-Quantor,

И судя по всему сертификат самоподписанный.

Я его не видел, но скорее всего да

NOD - это фамилии разработчика?

Понятия не имею, но я работал с чуваком по фамилии Нодь. Толковый чувак, кстати.

То есть NOD CA не признаётся браузерами и операционными системами, только если есть антивирус.

NOD не держит CA - это весьма дорогое удовольствие - держать сертифицированный CA, он генерит его именно под твою тачку

Видимо, ему по барабану на шифрование и он сканирует все сообщения дешифруя траффик.

Он перехватывает начальные запросы, выпускает сертификаты с таким же именем, получая таком образом доступ к начальному ключу шифрования сессии, потом отправляет запрос но уже от своего имени. Таким образом он находится "внутри" https-сессии.

А как у Нодя обстоят дела с телеметрией?!

ХЗ. Но лучше предполагать что есть.

Answer 3

[АртемЪ]

Самоподписанные SSL сертификаты теперь валидны?

Самоподписанный ничем не отличается от всех остальных.
Валидность сертификата зависит от доверия к тому кто его подписал. Если вы пдоверяете - значит валиден, иначе нет.

Смотрите какие сертификаты и корневые центры сертификации у вас в доверенных.