Di quali autorità di certificazione radice attendibili dovrei fidarmi?

10

Dopo due recenti articoli di Slashdot ( n. 1 n. 2 ) sui discutibili certificati di root installati sui computer, ho deciso di dare un'occhiata più da vicino a ciò che ho installato sui miei computer.
(Uso le versioni correnti di Chrome su Win7, che comprendo utilizza l'elenco di CA di Windows)

Quello che ho trovato mi ha davvero sorpreso.

  • Due macchine relativamente pulite avevano elenchi di CA molto diversi.
  • Ognuno aveva un certo numero di CA che erano scadute nel 1999 e nel 2004!
  • L'identità di molte CA non è facile da capire.

Ho anche visto che molti certificati scadono nel 2037, poco prima del rollover UNIX, presumibilmente per evitare eventuali bug di tipo Y2K38 attualmente sconosciuti. Ma altri certificati sono buoni per molto più tempo.

Ho cercato in giro, ma, in qualche modo sorprendentemente, non sono riuscito a trovare un elenco canonico di cui le CA sono generalmente accettate.

  • Se avessi un certificato canaglia MITM sulla mia macchina, come potrei anche saperlo?
  • Esiste un elenco di certificati "accettati"?
  • Sono sicuro nel rimuovere le CA scadute?
  • Posso sapere se / quando ho mai usato una CA per HTTPS?
google-chrome  security  ssl  certificate 
abelenky
fonte
1
Tutte domande eccellenti. Potresti pensare di cercare alcuni post su
Rich Homolka

Risposte:

2

Se avessi un certificato canaglia MITM sulla mia macchina, come potrei anche saperlo?

Non lo faresti spesso. In effetti, questo è spesso il modo in cui gli amministratori di sistema curano le sessioni HTTPS dei dipendenti: inviano silenziosamente un certificato attendibile a tutti i desktop e tale certificato attendibile consente a un proxy intermedio di scansionare il contenuto MITM senza avvisare gli utenti finali. (Cercare "push out CA for policy gruppo proxy https" - esaurito i collegamenti con la mia bassa reputazione!)

Esiste un elenco di certificati "accettati"?

Ce ne sono alcuni, generalmente l'elenco predefinito di certificati su installazioni di sistemi operativi stock. Tuttavia, ci sono ANCHE elenchi hardcoded di CA in alcuni browser (ad es. Http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) per supportare la validazione estesa ("barre verdi"), ma anche gli elenchi di veicoli elettrici possono variare (ad es. http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Sono sicuro nel rimuovere le CA scadute?

In generale, sì ... se tutto ciò che stai facendo è navigare in siti web. Tuttavia, potresti riscontrare altri problemi con determinate applicazioni di firma.

Posso sapere se / quando ho mai usato una CA per HTTPS?

Hmmmm ... sembra un'app che necessita di una scrittura. ;)

user309526
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.