Solución:
Teóricamente podría aplicar el siguiente método:
-
Elimine todos los certificados de CA raíz, excepto los que sean absolutamente necesarios para Windows, como se indica aquí.
-
Instale la lista actual de CA raíz de confianza del paquete actual. Tenga en cuenta que la validación de este paquete requiere que aún confíe en una de las CA raíz “necesarias”, por lo que debe mantenerlas en el primer paso.
Enfatizo que No he probado este método. Como paso preparatorio, es posible que desee realizar primero una copia de seguridad de todos estos certificados: ejecute certmgr.msc
, abre el Root
store, selecciónelos todos (por ejemplo, con Ctrl-A), luego haga clic derecho y elija exportarlos todos como un archivo PKCS # 7. Ese archivo contendrá una copia de todos los certificados, lo que debería permitirle reparar cosas, si el método anterior falla de alguna manera. Una vez más, la recuperación no ha sido probada.
Tenga cuidado con la multiplicidad de tiendas. certmgr.msc
muestra una vista agregada que contiene certificados de varias fuentes (“tiendas físicas”). Para comprender lo que está a punto de hacer, en el administrador de certificados, haga clic con el botón derecho en el Certificados nodo (nodo raíz del árbol en el panel izquierdo), seleccione Vista luego Opcionesy seleccione el Almacenes de certificados físicos caja. Este proceso se describe en esta entrada de blog (con capturas de pantalla).
Encontré el siguiente método simple para eliminar los certificados de CA de confianza local que no están presentes en la Lista de confianza de certificados de Microsoft oficial y actual:
Primero descargue Sigcheck (https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck) y luego ejecute:
>sigcheck.exe -tuv
...
Listing valid certificates not rooted to the Microsoft Certificate Trust List:
UserRoot:
Test Purpose CA
Cert Status: Valid
Valid Usage: All
Cert Issuer: Some development Root CA
Serial Number: 01
Thumbprint: 9CB31B0AE15867B5E29C4F7E21FE195C2AF24FE3
Algorithm: sha1RSA
Valid from: 2:10 PM 2/5/2015
Valid to: 2:10 PM 2/5/2025
LLAMA.PE Root CA - R2
Cert Status: Valid
Valid Usage: All
Cert Issuer: Some third party Root CA
Serial Number: 01 E0 DA 86 CC 7D 58 ED D8 62 E6 47 A2
Thumbprint: 1B4AEFF4FB8E2BEFEB3A8FE60D03D24269AB4A6B
Algorithm: sha256RSA
Valid from: 7:00 PM 3/14/2017
Valid to: 7:00 PM 3/14/2037
...
Luego, simplemente elimine todas las CA mostradas con algo como certmgr.msc
.
Notas
- Este método solo ayudará a eliminar los certificados CA de confianza local que no existen en la Lista de certificados de confianza de Microsoft, pero no instalará las CA de la Lista de certificados de confianza de Microsoft que no estén instaladas actualmente en la tienda local (por ejemplo, las que se eliminan manualmente).
- Esto verifica la tienda del usuario actual, no la tienda de la máquina. Para consultar el almacén de máquinas, simplemente omita el
u
en los argumentos. - El resultado parece incluir solo certificados válidos, por ejemplo, he observado que una CA de confianza local con una firma que Windows no pudo validar no estaba en la lista y tuve que verificarla y eliminarla manualmente.
Créditos para el siguiente sitio, http://woshub.com/how-to-check-trusted-root-certification-authorities-for-suspicious-certs/.