Saltar al contenido

Cómo restablecer el almacén de certificados de confianza de Windows a su valor predeterminado

Solución:

Teóricamente podría aplicar el siguiente método:

  1. Elimine todos los certificados de CA raíz, excepto los que sean absolutamente necesarios para Windows, como se indica aquí.

  2. Instale la lista actual de CA raíz de confianza del paquete actual. Tenga en cuenta que la validación de este paquete requiere que aún confíe en una de las CA raíz “necesarias”, por lo que debe mantenerlas en el primer paso.

Enfatizo que No he probado este método. Como paso preparatorio, es posible que desee realizar primero una copia de seguridad de todos estos certificados: ejecute certmgr.msc, abre el Root store, selecciónelos todos (por ejemplo, con Ctrl-A), luego haga clic derecho y elija exportarlos todos como un archivo PKCS # 7. Ese archivo contendrá una copia de todos los certificados, lo que debería permitirle reparar cosas, si el método anterior falla de alguna manera. Una vez más, la recuperación no ha sido probada.

Tenga cuidado con la multiplicidad de tiendas. certmgr.msc muestra una vista agregada que contiene certificados de varias fuentes (“tiendas físicas”). Para comprender lo que está a punto de hacer, en el administrador de certificados, haga clic con el botón derecho en el Certificados nodo (nodo raíz del árbol en el panel izquierdo), seleccione Vista luego Opcionesy seleccione el Almacenes de certificados físicos caja. Este proceso se describe en esta entrada de blog (con capturas de pantalla).

Encontré el siguiente método simple para eliminar los certificados de CA de confianza local que no están presentes en la Lista de confianza de certificados de Microsoft oficial y actual:

Primero descargue Sigcheck (https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck) y luego ejecute:

>sigcheck.exe -tuv
... 
Listing valid certificates not rooted to the Microsoft Certificate Trust List:

UserRoot:
   Test Purpose CA
        Cert Status:    Valid
        Valid Usage:    All
        Cert Issuer:    Some development Root CA
        Serial Number:  01
        Thumbprint:     9CB31B0AE15867B5E29C4F7E21FE195C2AF24FE3
        Algorithm:      sha1RSA
        Valid from:     2:10 PM 2/5/2015
        Valid to:       2:10 PM 2/5/2025
   LLAMA.PE Root CA - R2
        Cert Status:    Valid
        Valid Usage:    All
        Cert Issuer:    Some third party Root CA
        Serial Number:  01 E0 DA 86 CC 7D 58 ED D8 62 E6 47 A2
        Thumbprint:     1B4AEFF4FB8E2BEFEB3A8FE60D03D24269AB4A6B
        Algorithm:      sha256RSA
        Valid from:     7:00 PM 3/14/2017
        Valid to:       7:00 PM 3/14/2037
...

Luego, simplemente elimine todas las CA mostradas con algo como certmgr.msc.

Notas

  • Este método solo ayudará a eliminar los certificados CA de confianza local que no existen en la Lista de certificados de confianza de Microsoft, pero no instalará las CA de la Lista de certificados de confianza de Microsoft que no estén instaladas actualmente en la tienda local (por ejemplo, las que se eliminan manualmente).
  • Esto verifica la tienda del usuario actual, no la tienda de la máquina. Para consultar el almacén de máquinas, simplemente omita el u en los argumentos.
  • El resultado parece incluir solo certificados válidos, por ejemplo, he observado que una CA de confianza local con una firma que Windows no pudo validar no estaba en la lista y tuve que verificarla y eliminarla manualmente.

Créditos para el siguiente sitio, http://woshub.com/how-to-check-trusted-root-certification-authorities-for-suspicious-certs/.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *