Recientemente Google tomaba la decisión de eliminar los certificados
raiz de la autoridad de certificación estatal china CNNIC de su
navegador Chrome (y otros productos de Google) debido a su mala
praxis:
As a result of a joint investigation of the events surrounding this
incident by Google and CNNIC, we have decided that the CNNIC Root and
EV CAs will no longer be recognized in Google products.
Si queremos hacer lo mismo y eliminar el reconocimiento de ambos
certificados en nuestra Debian (lo que específicamente afectará a
nuestro navegador Iceweasel pero también a cualquier otro programa que
use certificados SSL), lo podemos hacer mediante una interfaz ncurses
usando:
dpkg-reconfigure ca-certificates
O podemos hacerlo Unix neckbeard style (¡Toma un
nickel!), echando mano de nuestro editor favorito para
poner un símbolo de exclamación (!) delante de los certificados que no
queremos que se reconozcan de los presentes en
/etc/ca-certificates.conf. En este caso las líneas a modificar son:
mozilla/CNNIC_ROOT.crt
mozilla/China_Internet_Network_Information_Center_EV_Certificates_Root.crt
Luego ejecutamos update-ca-certificates para que se reconstruyan los
enlaces simbólicos y base de datos de certificados de /etc/ssl/certs
(que es lo que realmente usan las bibliotecas de SSL/TLS como OpenSSL) y
listo.
Cualquiera de los dos métodos es equivalente e intercambiable, no hay
diferencia excepto las preferencias de interfaz de uso de cada usuario.
Leí un comentario de alguien que explicaba que él había bloqueado todos
los certificados de autoridad, y luego había ido desbloqueando
exclusivamente aquellos que necesitaban las páginas que habitualmente
visitaba, reduciendo la lista, y con ello la superficie de ataque,
considerablemente. Tal vez es un método un poco extremo, pero no estaría
de más considerarlo viendo cómo la lista de CAs cada vez es más extensa
pero a la vez con participantes menos confiables... Esto supone, además,
estar atento a las actualizaciones del paquete
ca-certificates, por si éste nos introduce nuevos
certificados (que estarán activos por defecto) para bloquearlos
igualmente.
:wq