Яким довіреним органам з сертифікації кореневих я повинен довіряти?

10

Після двох останніх статей Slashdot ( №1 # 2 ) про сумнівні кореневі сертифікати, встановлені на машинах, я вирішив детальніше ознайомитися з тим, що я встановив на своїх машинах.
(Я використовую поточні версії Chrome на Win7, для яких я розумію, що використовується список ОС Windows)

Те, що я знайшов, насправді мене здивувало.

  • Дві відносно чисті машини мали надзвичайно різні списки СА.
  • У кожного було кілька ЦО, термін дії яких закінчився у 1999 та 2004 роках!
  • Ідентичність багатьох ЦА не легко зрозуміти.

Я також бачив, що багато сертифікатів закінчуються в 2037 році, незадовго до перекидання UNIX, імовірно, щоб уникнути будь-яких невідомих на сьогодні помилок типу Y2K38. Але інші церти корисні набагато довше.

Я обшукував, але, на диво, не зміг знайти канонічного списку, про які загальновизнані ЦО.

  • Якби у мене на моїй машині був негідник MITM, як я це навіть знав?
  • Чи існує список "прийнятих" сертів?
  • Чи безпечний я у видаленні термінів, що втратили чинність?
  • Чи можу я знати, чи / коли я коли-небудь використовував CA для HTTPS?
google-chrome  security  ssl  certificate 
абеленький
джерело
1
Всі відмінні запитання. Ви можете подумати про пошук деяких постів
Rich Homolka

Відповіді:

2

Якби у мене на моїй машині був негідник MITM, як я це навіть знав?

Ви часто цього не робили. Насправді, так часто SysAdmins проводить HTTPS-сеанси співробітників: вони спокійно виштовхують довірену cert на всі настільні комп'ютери, і цей довірений cert дозволяє проміжний проксі для сканування вмісту MITM, не попереджуючи кінцевих користувачів. (Подивіться на "push out CA for https policy proxy group policy" - не вистачає посилань із моєю низькою репутацією!)

Чи існує список "прийнятих" сертів?

Існує декілька, як правило, список сертифікатів за замовчуванням на установках операційної системи. Однак Є ТАКОЖ жорсткі коди списків ЦО в певних браузерах (наприклад, http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) для підтримки розширеної перевірки ("зелені смуги"), але списки EV також різняться (наприклад, http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Чи безпечний я у видаленні термінів, що втратили чинність?

Взагалі, так ... якщо все, що ви робите, це серфінг веб-сайтів. Однак у вас можуть виникнути інші проблеми із запуском певних програм для підписання.

Чи можу я знати, чи / коли я коли-небудь використовував CA для HTTPS?

Хмммм ... звучить як додаток, який потребує написання. ;)

користувач309526
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.