[Mac] 將 Blue Coat 的 CA 設成不信任的憑證,避免網路監聽
今天看到 Untrust the Suspicious Blue Coat Certificate Authority on Mac or Windows 這一篇,
提到了 Blue Coat 這家公司現在有了 Intermediate CA (Certificate Authority) 的權限了,
這表示他們可以自己簽發一些憑證 (certificate)… 那又怎麼樣呢?
原來 Blue Coat 這家公司有生產一些 MitM (man-in-the-middle) 的設備,
藉由這些設備,可以用來監聽網路上的連線,
如果是有 SSL (如 HTTPS) 加密的,它會產生一個假的中間人憑證,
用來跟使用者溝通,拿到使用者要傳輸的資料,再轉手送出給網站,
因此使用者送出和接收的資料就都被看光光了~
但理論上這種假的中間人憑證是不會有簽章 (sign) 的,
所以使用者可以在瀏覽器上看到破碎的鎖頭,提醒你網路連線可能會被脅持~
但現在 Blue Coat 變成 Intermediate CA 的話,它就可以自己將這些中間人憑證加上簽章…
在一般電腦上,都已經預設信任了很多組的 Root CA,
而這些 Root CA 加持的 Intermediate CA 也會一併被自動信任,
因此 Root CA -> Blue Coat Intermediate CA -> 假的中間人憑證一路下來,就被自動信任了,
瀏覽器上也不再會出現破碎的鎖頭提醒你了…
文章的後面連結到了 UNTRUSTING AN INTERMEDIATE CA ON OS X 這一篇文章,
教我們怎麼將 Blue Coat 的 Intermediate CA 在 Mac 上設定為永不信任,就來試試看吧~
1. 下載 Blue Coat Intermediate CA 憑證
在 Mac 上,要先拿到 CA 憑證,才能將它設成不信任。
因此雖然不太想,還是得先將它下載下來,下載下來是一個 .crt 檔~
2. 設定 BlueCoat Intermediate CA 憑證
在 Finder 中對 .crt 檔案點兩下,會開啟 KeyChain 程式,列出所有系統中的憑證~
如果找不到 Blue Coat 的話,可以在右上方搜尋列鍵入 blue,就能找到了,
我們可以看到這是 Blue Coat 的 Intermediate CA,而且憑證狀態是有效的 (valid):
點兩下這個憑證,再點下 Trust 的下拉箭頭,
可以看到這個憑證目前是 Use System Defaults (預設應該就是信任這張憑證):
將它改成 Never Trust 永遠不信任這張憑證,下面的各別部分也都會自動變成 Never Trust:
關閉這個對話框時,要再輸入使用者密碼來確認修改:
這樣子這張憑證就已經設定成對「目前的用戶」而言,是永遠不信任的憑證了:
將這憑證往左上拖到 System 字上,就會讓這憑證的「永不信任」狀態套用到整個系統上了:
要注意的是,這個方法只能用在目前已用的憑證上面,
假設 Root CA 又發給 Blue Coat 另一張 Intermediate CA 的話,
就得照這方法重新再做一次囉~