¿es conveniente borrar los certificados caducados y revocados?

Iniciado por cixert, 4 Julio 2018, 01:22 AM

0 Miembros y 1 Visitante están viendo este tema.

cixert

Lo pregunto porque veo que Windows 10 trae varios certificados de Microsoft caducados en 1999. Lo cual me extraña. Parece que son certificados para instalar hardware.
Creo que un certificado caducado funciona igualmente pero no se bien de que depende y dónde pueden tener utilidad. ¿funcionan en el navegador si el servidor de la web no lo ha renovado?
Tengo la duda de si borrar todos los certificados caducados o revocados.
¿da lo mismo borrarlos que no?¿y si los borras qué sucede?
Me da la impresión de que algunos clientes de correo en vez de cogerme el certificado renovado me están cogiendo el revocado (pese a instalar manualmente uno renovado) ¿este no se debería de cambiar automáticamente una vez renovado?

kub0x

Aunque sean del año 1999 esos certificados fueron utilizados para firmar aplicaciones que ahora por términos de compatibilidad siguen incluyéndose en las versiones de W10. Si los eliminaras y utilizases alguna de esas aplicaciones firmadas, entonces no habría forma de verificar la firma digital.

No es lo mismo el proceso de verificación de certificado online (i.e: TLS Handshake) al proceso de verificación del code signing ya que si el certificado expira pero utiliza Timestamping entonces el código no expira: https://en.wikipedia.org/wiki/Code_signing#Time-stamping

Saludos.
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


cixert

#2
He encontrado una lista de los certificados que no se deben de borrar en Windows.
https://support.microsoft.com/en-us/help/293781/trusted-root-certificates-that-are-required-by-windows-server-2008-r2
La lista se refiere a sistemas operativos por separado pero por lo que he comprobado no se debe de borrar ninguno de esta lista en ningún sistema operativo Windows.
----------------------
He borrado el resto de certificados en Windows 10 y luego los he descargado actualizados de windowsupdate con la línea de comandos mediante cerutil.exe
(aquí está el procedimiento, ojo que el autor tiene una errata al referirse a las CTL como certificados)
http://woshub.com/updating-trusted-root-certificates-in-windows-10/
Curiosamente se descagan 20 certificados caducados de 373 en total.
Cada uno de estos certificados caducados que Windows Update da por válidos al abrirlos individualmente dicen
"Este certificado ha sido revocado por su autoridad de certificación"
¿cómo puedo saber si son certificados con sello de tiempo o si están realmente revocados sin ninguna utilidad?