Solo per rendere le cose difficili, Linux ha più di una libreria per lavorare con i certificati.
Se stai usando l'NSS di Mozilla, puoi diffidare attivamente (la loro terminologia) di un certificato usando -t trustargs di certutil opzione:
$ certutil -d <path to directory containing database> -M -t p -n "Blue Coat Public Services Intermediate CA"
Per Firefox, <path to directory containing database> di solito è ~/.mozilla/firefox/<???>.profile dove <???> sono alcuni personaggi dall'aspetto casuale. (certutil è ad esempio nel pacchetto libnss3-tools di Ubuntu)
La suddivisione è la seguente:
-M per modificare il database
-t p per impostare l'attendibilità su Proibito
-n per eseguire l'operazione sul certificato indicato
Anche all'interno di NSS, non tutte le applicazioni condividono lo stesso database; quindi potrebbe essere necessario ripetere questo processo. Ad esempio, per fare lo stesso per Chrome, cambia il -d <path> a -d sql:.pki/nssdb/ .
$ certutil -d sql:.pki/nssdb/ -M -t p -n "Blue Coat Public Services Intermediate CA"
Tuttavia, non tutte le applicazioni utilizzano NSS, quindi questa non è una soluzione completa. Ad esempio, non credo sia possibile farlo con la libreria OpenSSL.
Di conseguenza, qualsiasi applicazione che utilizza OpenSSL per fornire la creazione della catena di certificati (TLS, IPSec ecc.) si fiderebbe di una catena con un certificato Blue Coat e non c'è nulla che tu possa fare al riguardo se non rimuovere la CA principale da cui l'ha firmata il tuo negozio di ancoraggio di fiducia (il che sarebbe sciocco considerando che si tratta di una Symantec Root CA poiché finiresti per diffidare di metà di Internet), mentre le applicazioni che si basano su NSS possono essere configurate in modo più granulare per diffidare di qualsiasi catena che contenga il certificato Blue Coat al suo interno .
Ad esempio, credo che OpenVPN utilizzi OpenSSL come libreria per i certificati, quindi il fratello maggiore potrebbe ascoltare il tuo traffico OpenVPN a tua insaputa se ti connetti a un provider VPN commerciale che utilizza OpenVPN. Se sei davvero preoccupato per questo, controlla chi è la Root CA del tuo provider VPN commerciale:se è Symantec/Verisign, forse è il momento di abbandonarli per qualcun altro?
Tieni presente che SSH non utilizza i certificati X509, pertanto puoi connetterti e creare un tunnel utilizzando SSH senza preoccuparti degli attacchi Blue Coat MITM.