Những cơ quan chứng nhận gốc đáng tin cậy nào tôi nên tin tưởng?

10

Sau hai bài viết gần đây về Slashdot ( # 1 # 2 ) về Chứng chỉ gốc đáng ngờ được cài đặt trên máy, tôi quyết định xem xét kỹ hơn những gì tôi đã cài đặt trên máy của mình.
(Tôi sử dụng các phiên bản Chrome hiện tại trên Win7, tôi hiểu rằng sử dụng danh sách CA của Windows)

Những gì tôi tìm thấy thực sự làm tôi ngạc nhiên.

  • Hai máy tương đối sạch có danh sách CA rất khác nhau.
  • Mỗi người có một số CA đã hết hạn vào năm 1999 và 2004!
  • Danh tính của nhiều CA không dễ hiểu.

Tôi cũng thấy rằng nhiều chứng chỉ hết hạn vào năm 2037, ngay trước khi rollover UNIX, có lẽ để tránh bất kỳ lỗi loại Y2K38 nào hiện chưa biết. Nhưng các certs khác là tốt cho lâu hơn nhiều.

Tôi đã tìm kiếm xung quanh, nhưng, hơi ngạc nhiên, không thể tìm thấy một danh sách chính tắc trong đó CA thường được chấp nhận.

  • Nếu tôi có chứng chỉ giả mạo MITM trên máy của mình, làm sao tôi biết?
  • Có một danh sách các certs "được chấp nhận" tồn tại?
  • Tôi có an toàn trong việc loại bỏ các CA hết hạn không?
  • Tôi có thể biết nếu / khi tôi đã từng sử dụng CA cho HTTPS không?
google-chrome  security  ssl  certificate 
abelenky
nguồn
1
Tất cả các câu hỏi tuyệt vời. Bạn có thể suy nghĩ về việc tìm kiếm một số bài đăng
Rich Homolka

Câu trả lời:

2

Nếu tôi có chứng chỉ giả mạo MITM trên máy của mình, làm sao tôi biết?

Bạn thường không muốn. Trên thực tế, đây thường là cách SysAdmins rình mò các phiên nhân viên HTTPS: họ lặng lẽ đưa ra một chứng chỉ đáng tin cậy cho tất cả các máy tính để bàn và chứng chỉ tin cậy đó cho phép một proxy trung gian đến nội dung quét MITM mà không báo cho người dùng cuối. (Tra cứu "đẩy ra CA cho chính sách nhóm proxy https" - hết liên kết với uy tín thấp của tôi!)

Có một danh sách các certs "được chấp nhận" tồn tại?

Có một vài, nói chung là danh sách các certs mặc định về cài đặt hệ điều hành chứng khoán. Tuy nhiên, có các danh sách CA được mã hóa cứng trong các trình duyệt nhất định (ví dụ: http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendsValidation.cpp ) để hỗ trợ Xác thực mở rộng ("thanh màu xanh lá cây"), nhưng danh sách EV cũng khác nhau (ví dụ: http://www.digicert.com/ssl-support/code-to-enable-green-bar.htmlm )

Tôi có an toàn trong việc loại bỏ các CA hết hạn không?

Nói chung, có ... nếu tất cả những gì bạn đang làm là lướt các trang web. Tuy nhiên, bạn có thể gặp phải các vấn đề khác khi chạy một số ứng dụng ký.

Tôi có thể biết nếu / khi tôi đã từng sử dụng CA cho HTTPS không?

Hmmmm ... nghe có vẻ như một ứng dụng cần viết. ;)

người dùng309526
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.