make-ca — это утилита для предоставления и управления полной конфигурацией PKI для рабочих станций и серверов. Начиная с версии 0.9 и до ве…

make-ca — это утилита для предоставления и управления полной конфигурацией PKI для рабочих станций и серверов. Начиная с версии 0.9 и до версии 1.10, make-ca неправильно интерпретирует Mozilla certdata.txt и обрабатывает явно ненадежные сертификаты как доверенные, в результате чего эти явно ненадежные сертификаты, доверенные системой. Явно ненадежные сертификаты использовались некоторыми уже взломанными ЦС. Враждебные злоумышленники могут выполнить MIM-атаку, используя их. Всем, кто использует уязвимые версии make-ca, следует обновиться до make-ca-1.10 и запустить `make-ca -f -g` от имени пользователя `root`, чтобы немедленно восстановить доверенное хранилище. В качестве обходного пути пользователи могут вручную (или с помощью скрипта) удалить ненадежные сертификаты из /etc/pki/tls и /etc/ssl/certs, но это не рекомендуется, поскольку ручные изменения будут перезаписаны при следующем запуске make-ca для обновления доверенного якоря.