Tôi muốn thắt chặt bảo mật một chút, vì vậy tôi đang vô hiệu hóa các certs không cần thiết khỏi trình duyệt của mình. Ví dụ: chứng nhận "WoSign CA Limited" từ Trung Quốc tôi rõ ràng không cần, nhưng "Thawte Consulting cc" tôi làm.
Có cách nào để xem loại certs nào tôi thực sự sử dụng để tôi có thể bắt đầu đưa ra quyết định sáng suốt không? Lấy ví dụ "Trustis Limited". Trên cơ sở nào tôi sẽ quyết định giữ hoặc để lại nó. Ngoài ra, ngoài "Thawte Consulting cc" còn có chứng nhận cho "thawte, Inc.". Ai đó có thể là một kẻ giả mạo? Sao tôi biết được?
3
Đây là một vấn đề khó. Bạn thực sự không thể biết cái nào là hợp pháp và thậm chí bạn không biết bạn cần và sẽ cần gì trong tương lai (các nhà cung cấp dịch vụ mà bạn dựa vào có thể thay đổi CA họ sử dụng, xem Chứng nhận tuần tra để biết ý tưởng về tần suất Công tắc CA). Một trong những lý do tại sao một số người trong cộng đồng bảo mật coi hệ thống CA bị phá vỡ cơ bản. Hầu hết mọi người thường phải dựa vào mozilla (hoặc bất kỳ ai sáng tác cửa hàng chứng chỉ của bạn, có thể là google trong trường hợp của bạn) để thực hiện các bài kiểm tra hợp lý trên các chứng chỉ mà họ nhận được đơn đăng ký.
—
Jonas Schäfer
Trên thực tế, Chứng nhận tuần tra sẽ chính xác như những gì bạn muốn (điều đó, cộng với một vài tuần sử dụng). Tuy nhiên, nó không có sẵn cho google chrome .
—
Jonas Schäfer
@JonasWielicki, Không khó lắm đâu. Chúng tôi chọn lọc có thể chặn bởi các quốc gia, sau đó khi có một vấn đề, chúng ta có thể sau đó quyết định xem chúng ta muốn đưa nó trở lại vào danh sách. Cấm trước, danh sách trắng sau.
—
Pacerier
@Pacerier Tôi không nghĩ điều đó là dễ dàng. Đầu tiên, nếu bạn chặn toàn bộ CA dựa trên Năm mắt (mà tôi sẽ làm nếu tôi thực hiện việc này một cách nghiêm túc), bạn sẽ lập tức lập lại danh sách trắng cho họ. Không có gì chiến thắng ở đó. Chứng chỉ tuần tra có lợi thế rõ ràng là nó thông báo cho bạn về những thay đổi "đáng ngờ" trong chứng chỉ (như, thay đổi chứng chỉ sớm hoặc thay đổi của CA).
—
Jonas Schäfer