[总结]Windows Crypto API 自动更新根证书问题原因及解决方案

已于 2022-08-31 16:40:31 修改
阅读量1k 收藏
点赞数
分类专栏: windows 文章标签: windows
于 2022-08-19 09:52:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1113673178/article/details/126410802
版权

项目场景:

最近在使用Windows Crypto API 做验签,遇到的一些问题.

问题描述

在调用Windows Crypto API时 发现有网络请求(microsoft/DigiCert等网站)的流量

原因分析:

CertGetCertificateChain->CRYPT32!CChainPathObject::CChainPathObject()这个函数内会进行区分

问题结论

调用Windows Crypto API时存在自动更新根证书 自动访问特定网站下载证书行为.

解决方案:

CertGetCertificateChain function (wincrypt.h)

官网解释
dwFlag解释

ValueMeaning
CERT_CHAIN_CACHE_END_CERT 0x00000001当这个标志设置,最终证书缓存,这可能会加快正在建设的过程。
默认情况下,最终的证书是不缓存,它需要验证每次链构建。
CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY 0x80000000吊销证书检查只访问缓存的url。
CERT_CHAIN_REVOCATION_CHECK_OCSP_CERT 0x04000000这个标志内部使用在链构建一个在线证书状态协议(OCSP)签名者证书,以防止循环吊销证书检查。链建设期间,如果签署的OCSP反应是一个独立的OCSP签名者,然后,除了原来的链构建,还有第二个链构建OCSP签名者证书本身。这个标志这第二个链构建期间用于抑制递归独立OCSP签名者证书。如果签名者证书包含szOID_PKIX_OCSP_NOCHECK扩展,叶签名者证书吊销证书检查被跳过。OCSP和CRL检查都是允许的。
Windows Server 2003和Windows XP:不支持这个值。
CERT_CHAIN_CACHE_ONLY_URL_RETRIEVAL 0x00000004只使用缓存的url在构建一个证书链,不会在互联网和内联网搜寻基于URL的对象 注意:这个标志不适用吊销证书检查。缓存设置CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY只使用url吊销证书检查。
CERT_CHAIN_DISABLE_PASS1_QUALITY_FILTERING 0x00000040
CERT_CHAIN_DISABLE_MY_PEER_TRUST 0x00000800不支持这个标志。证书在“MY”证书存储从不考虑同伴的信任。
CERT_CHAIN_ENABLE_PEER_TRUST 0x00000400在“TrustedPeople”证书存储的终端实体证书没有执行任何链构建都是可信任的。这个函数不设置CERT_TRUST_IS_PARTIAL_CHAIN或CERT_TRUST_IS_UNTRUSTED_ROOT dwErrorStatus ppChainContext参数的成员。
Windows Server 2003 Windows XP:不支持这个标志。
CERT_CHAIN_OPT_IN_WEAK_SIGNATURE 0x00010000设置此标志显示调用者希望选择弱签名检查。   这个标志可以在每个操作系统的汇总更新从Windows 7和Windows Server 2008 R2 开始
CERT_CHAIN_RETURN_LOWER_QUALITY_CONTEXTS 0x00000080默认是只返回最高质量链的道路。设置此标志将返回低质量链。这些返回的cLowerQualityChainContext和rgpLowerQualityChainContext字段链上下文。
CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE 0x00000100设置这个标志阻止第三方根证书的从Windows更新Web服务器的自动更新
CERT_CHAIN_REVOCATION_ACCUMULATIVE_TIMEOUT 0x08000000
CERT_CHAIN_TIMESTAMP_TIME 0x00000200这个标志被设置时,pTime作为时间戳时间确定最终的证书是有效的。当前时间也可以用来确定最终证书仍然有效。所有其他认证机构(CA)和根证书链中使用当前时间而不是pTime检查。
CERT_CHAIN_DISABLE_AIA 0x00002000设置这个标记显式地关闭 Authority Information Access (AIA)检索。

您还可以设置以下吊销标志,但只有一个标志从这组可以设置一次:

ValueMeaning
CERT_CHAIN_REVOCATION_CHECK_END_CERT 0x10000000吊销证书的检查在最终证书,也仅仅是对最终证书
CERT_CHAIN_REVOCATION_CHECK_CHAIN 0x20000000吊销证书的检查在所有证书,且在每一个链。
CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT 0x40000000吊销证书的检查在所有的所有证书链上进行,除了根证书。

END_CERT:终端实体证书/叶证书/SSL证书

解决方案

主要是在函数的dwFlag上处理

总结

参考:
不支持ISRG?在Windows 10/8.1/7中更新根证书列表
Windows下验证https证书
CryptoAPI System Architecture

二进制怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Python常用组件、命令大总结(持续更新)
LDC,公众号【轻松学编程】
03-12 1万+
Python后端开发常用组件、命令(干货) 持续更新中… 1、生成6位数字随机验证码 import random import string def num_code(length=6): """ 生成长度为length的数字随机验证码 :param length: 验证码长度 :return: 验证码 """ return ''.jo.....................
winxp/2000 证书更新程序
09-15
winxp/2000 证书更新程序。另辟蹊径直接保持最新证书以解决 证书更新补丁(kb2917500证书更新补丁 kb952011去除不安全证书补丁)不好找或无法安装补丁到系统的问题证书过期导致的证书错误, 浏览器打开提示安全证书过期或错误, 需要验证证书的应用不通过情况。
适用win7的证书更新
06-18
适用win7的证书更新,适合不能联网的电脑安装适用一些需要证书验证的软件
Windows或Nginx上安装/更新SSL证书,步骤详解
最新发布
Zh.快乐的程序猿的博客
06-18 842
Windows或Nginx上安装/更新SSL证书,步骤详解
ms 证书更新 下载
[无色轨迹] @ Naxin9999
05-21 5357
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exems 证书更新 下载
各平台更新证书
石牌桥网管笔记
10-07 932
【代码】各平台更新证书
启用“关闭自动证书更新”,解决Windows系统各种卡顿的问题(Visual studio 卡、远程桌面mstsc卡、SVN卡)
qq_38472465的博客
05-16 936
启用“关闭自动证书更新”,解决Windows系统各种卡顿的问题(Visual studio 卡、远程桌面mstsc卡、SVN卡)
更新证书_由于证书故障 Let's Encrypt证书转换将在2021年发生问题
weixin_35745051的博客
01-14 665
Let's Encrypt宣布,其服务使用的一个由IdenTrust提供的证书将于2021年9月1日到期。Let's Encrypt用自己的名为ISRG Root X1的证书为到期做好了准备,它在很多设备上都得到了支持,但存在一个问题:由于Android系统缓慢的更新形势,数百万运行Android 7.1.1以下版本的设备将无法使用Let's Encrypt证书连接网站。这不仅会影响用户在网页...
pySchannelSSL:使用Windows Schannel CryptoAPI SSL实现的Python 3 HTTPSHandler替代
04-27
然而,`pySchannelSSL` 是一个特殊的库,它为 Python 3 提供了一个替代方案,利用了 Windows 操作系统的 Schannel CryptoAPI 来处理 SSL/TLS 连接。Schannel 是 Microsoft Windows 上的一个安全包,用于提供网络通信...
"物联网安全挑战与区块链解决方案
区块链:研究与应用2(2021)100006关于物联网中采用区块链的调查:挑战和解决方案Md Ashraf Uddin*,Andrew Stranieri,Iqbal Gondal,Venki Balasubramanian互联网商务安全实验室,澳大利亚联邦大学,Mount Helen...
update-ca-trust 更新 ca 证书后,file_get_contensts() 报错 certificate verify failed
热门推荐
沐雨聼風
03-28 1万+
问题 因为微信支付的HTTPS服务器证书升级,所以得安装DigiCert的CA证书,我的系统是 CentOs,按照微信给出的方案是 安装证书管理包软件: yum install ca-certificates 打开证书动态配置开关: update-ca-trust force-enable 将DigiCert的证书文件复制到: /etc/pki/ca-trust/source/...
win7证书补丁.zip
06-06
Win7证书补丁,解决程序安装出现证书无效的问题 例如 netframework4.6以上无法安装,KepServerEx 6.X以上无法安装
KEPServerEX 6 更新证书补丁
09-29
安装KEPServerEX 6 时报错,证书安装,在网上找了好久测试终于解决,测试过好多个版本不行,这是最先版2014版的证书,为了防止大家浪费时间,分享出来。
Active Directory 证书服务(一)
ZAWX_NETSTARSEC的博客
08-19 2544
Active Directory 证书服务(一) 0x00 前言 specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书 https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于Active Directory 证书服务的攻击第一次系统的进入我们的视野。 我在白皮书的基础上学习了Active Directory 证书服务相关的漏洞,作为学习成果,用两篇文章来介绍Active Directo
更新证书_明年,多数物联网智能设备可能会因安全证书过期而停止工作
weixin_39622747的博客
01-14 470
物联网是近几年发生的最重要的技术变革之一。随着它的日益普及,科技公司现在正致力于创建可直接通过智能手机进行互联和控制的产品生态系统。但是在明年,物联网可能会被很多人更改为“麻烦的互联网”。美国研究员斯科特·赫尔姆(Scott Helme)对于物联网即将到来的问题提出了警告,这个问题在明年可能会给许多智能设备造成困扰。那么,是什么东西有这么大的威力,能够给那么多智能设备造成麻烦?赫尔姆表示,在未来1...
Windows CryptoAPI
jxluoix的专栏
01-24 200
// win32-test.cpp : 定义控制台应用程序的入口点。// // Defines the entry point for the console // application.#include "stdafx.h"#include <tchar.h>#include <stdio.h>#include <windows.h>#include &lt...
openssl漏洞怎么处理_Windows暴露严重安全漏洞CVE-2020-0601,影响关键加密功能
weixin_39548606的博客
11-23 601
最近Window系统爆一个严重的安全漏洞,该漏洞使CryptoAPI无法正确验证椭圆曲线(ECC)密码证书,攻击者可以用该漏洞欺骗证书信任链。微软已经在昨天发布了一个重要软件更新,修复该漏洞。NSA同步也发布了安全升级公告,NSA评估该漏洞为严重漏洞该漏洞被编码为CVE-2020-0601,影响所有Microsoft Windows版本加密功能。该漏洞将导致Windows证书验证的加密认证的证书信...
远程桌面正在加密远程连接很久很慢连接不上解决方法
qq_28673751的博客
01-19 1万+
当远程桌面一台电脑进行操作时,一直提示“正在远程加密连接”。很久才可以连接上 但是用vpn连接时,很快就能连接, 经过上网搜索资料查询发现,在组策略里面有一个“自动关闭证书更新”,此策略设置指定是否通过访问 Windows 更新网站来自动更新证书,如果禁用或未配置此策略设置,计算机将连接到 Windows 更新网站,所以出现连接很慢情况。将其开启即可解决此问题。 开启方式: 1、打开运行(方法一、按Windows键+R;方法二、win10鼠标右键点击开始菜单----运行),输入:gpedit.msc
Windows Crypto API
05-27
Windows Crypto APICryptographic Application Programming Interface)是微软公司开发的一组应用程序接口,用于支持Windows操作系统中的加密和解密功能。它提供了一种安全的方式来处理敏感信息,如密码、数字证书...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二进制怪兽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值