Come sapere quali certificati lasciare nel mio browser e quali rimuovere

12

Vorrei rafforzare un po 'la sicurezza, quindi sto disabilitando i certificati non necessari dai miei browser. Ad esempio, il certificato "WoSign CA Limited" dalla Cina ovviamente non mi serve, ma "Thawte Consulting cc" lo faccio.

C'è un modo per vedere quali certificati ho effettivamente utilizzato in modo da poter iniziare a prendere decisioni informate? Prendiamo ad esempio "Trustis Limited". Su quale base deciderei di conservarlo o lasciarlo. Inoltre, oltre a "Thawte Consulting cc" esiste un certificato per "thawte, Inc.". Uno potrebbe essere uno spoof? Come lo saprei?

google-chrome  firefox  security  ssl  certificate 
dotancohen
fonte
3
Questo è un problema difficile Non puoi davvero sapere quali sono legittimi e non sai nemmeno di cosa hai bisogno e di cui avrai bisogno in futuro (i fornitori di servizi su cui fai affidamento possono cambiare la CA che usano, vedi Certificato di pattuglia per avere un'idea della frequenza di Interruttori CA). Uno dei motivi per cui alcune persone nella comunità della sicurezza considerano il sistema CA sostanzialmente rotto. La maggior parte delle persone normalmente deve fare affidamento su mozilla (o chiunque componga il tuo archivio certificati, potrebbe essere google nel tuo caso) per fare test sensati sui certificati per i quali ricevono le domande.
Jonas Schäfer,
4
In effetti, Certificate Patrol sarebbe esattamente quello che vuoi (quello, oltre a qualche settimana di utilizzo). Tuttavia, non è disponibile per Google Chrome .
Jonas Schäfer,
@JonasWielicki, Non è così difficile. Siamo in grado di bloccare selettivamente per paese, quindi quando si verifica un problema, possiamo quindi decidere se desideriamo includerlo nuovamente nell'elenco. Divieto prima, lista bianca più tardi.
Pacerier,
@Pacerier Non penso sia facile. In primo luogo, se blocchi tutte le CA basate su Five-Eyes (cosa che farei se dovessi prenderle sul serio), le riclascisti immediatamente. Niente ha vinto lì. Certificate Patrol ha il netto vantaggio di informarti di cambiamenti "sospetti" nei certificati (come, cambiamenti prematuri di certificati o cambiamenti della CA).
Jonas Schäfer,

Risposte:

7

Episodio # 481 di Security Now! tocchi podcast sull'argomento correlato di Trasparenza certificati . La domanda "di quale CA posso fidarmi?" è sostituito da "quali certificati sono noti per rappresentare un determinato sito?".

Una volta che RFC 6962 è stato distribuito universalmente, ci consente di rilevare che "l'ufficio postale di Hong Kong CA" (noto anche come governo cinese) ha emesso un certificato fraudolento su www.gmail.com che il tuo browser pre-2015 avrebbe accettato felicemente.

Il concetto secondo cui centinaia di CA sono affidabili per emettere certificati su qualsiasi sito è folle.

Andreas F
fonte
4
Apparentemente Firefox ha una patch che supporrebbe RFC 6962 da un anno ormai, ma non è stato accettato nel trunk.
dotancohen,
1
Potresti per favore citare esplicitamente un esempio immaginario come immaginario o fornire citazioni?
phoeagon
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.