Jakim zaufanym głównym urzędom certyfikacji należy ufać?

10

Po dwóch ostatnich artykułach Slashdot ( # 1 # 2 ) o wątpliwych certyfikatach głównych zainstalowanych na komputerach, postanowiłem przyjrzeć się temu, co zainstalowałem na moich komputerach.
(Używam bieżącej wersji Chrome na Win7, która, jak rozumiem, korzysta z listy urzędów certyfikacji w systemie Windows)

To, co znalazłem, naprawdę mnie zaskoczyło.

  • Dwie stosunkowo czyste maszyny miały znacznie różne listy urzędów certyfikacji.
  • Każdy z nich miał kilka urzędów certyfikacji, które wygasły w 1999 i 2004 roku!
  • Tożsamość wielu urzędów certyfikacji nie jest łatwa do zrozumienia.

Widziałem także, że wiele certyfikatów wygasa w 2037 r., Krótko przed rolowaniem UNIX, prawdopodobnie w celu uniknięcia jakichkolwiek obecnie nieznanych błędów typu Y2K38. Ale inne certyfikaty są ważne o wiele dłużej.

Rozejrzałem się, ale, co nieco zaskakujące, nie udało mi się znaleźć kanonicznej listy, które CA są ogólnie akceptowane.

  • Gdybym miał na swojej maszynie fałszywy certyfikat MITM, skąd miałbym wiedzieć?
  • Czy istnieje lista „zaakceptowanych” certyfikatów?
  • Czy mogę bezpiecznie usunąć wygasłe CA?
  • Czy mogę wiedzieć, czy kiedykolwiek użyłem urzędu certyfikacji dla HTTPS?
Abelenky
źródło
1
Wszystkie doskonałe pytania. Możesz pomyśleć o przeszukaniu niektórych postów
Rich Homolka

Odpowiedzi:

2

Gdybym miał na swojej maszynie fałszywy certyfikat MITM, skąd miałbym wiedzieć?

Często nie. W rzeczywistości często SysAdmins szpieguje sesje pracowników HTTPS: po cichu wypychają zaufany certyfikat na wszystkie komputery stacjonarne, a ten zaufany certyfikat pozwala pośredniczącemu proxy na skanowanie treści MITM bez powiadamiania użytkowników końcowych. (Wyszukaj „wypchnij urząd certyfikacji dla zasad grupy proxy HTTPS” - zabrakło linków z moją niską reputacją!)

Czy istnieje lista „zaakceptowanych” certyfikatów?

Istnieje kilka, na ogół domyślna lista certyfikatów dotyczących instalacji systemu operacyjnego. Istnieją jednak TAKŻE zakodowane na stałe listy urzędów certyfikacji w niektórych przeglądarkach (np. Http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) w celu obsługi rozszerzonej weryfikacji („zielone słupki”), ale listy EV również się różnią (np. http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Czy mogę bezpiecznie usunąć wygasłe CA?

Ogólnie tak ... jeśli wszystko, co robisz, to surfowanie po stronach internetowych. Mogą jednak wystąpić inne problemy z uruchomieniem niektórych aplikacji do podpisywania.

Czy mogę wiedzieć, czy kiedykolwiek użyłem urzędu certyfikacji dla HTTPS?

Hmmmm ... brzmi jak aplikacja, która wymaga napisania. ;)

użytkownik309526
źródło