Po dwóch ostatnich artykułach Slashdot ( # 1 # 2 ) o wątpliwych certyfikatach głównych zainstalowanych na komputerach, postanowiłem przyjrzeć się temu, co zainstalowałem na moich komputerach.
(Używam bieżącej wersji Chrome na Win7, która, jak rozumiem, korzysta z listy urzędów certyfikacji w systemie Windows)
To, co znalazłem, naprawdę mnie zaskoczyło.
- Dwie stosunkowo czyste maszyny miały znacznie różne listy urzędów certyfikacji.
- Każdy z nich miał kilka urzędów certyfikacji, które wygasły w 1999 i 2004 roku!
- Tożsamość wielu urzędów certyfikacji nie jest łatwa do zrozumienia.
Widziałem także, że wiele certyfikatów wygasa w 2037 r., Krótko przed rolowaniem UNIX, prawdopodobnie w celu uniknięcia jakichkolwiek obecnie nieznanych błędów typu Y2K38. Ale inne certyfikaty są ważne o wiele dłużej.
Rozejrzałem się, ale, co nieco zaskakujące, nie udało mi się znaleźć kanonicznej listy, które CA są ogólnie akceptowane.
- Gdybym miał na swojej maszynie fałszywy certyfikat MITM, skąd miałbym wiedzieć?
- Czy istnieje lista „zaakceptowanych” certyfikatów?
- Czy mogę bezpiecznie usunąć wygasłe CA?
- Czy mogę wiedzieć, czy kiedykolwiek użyłem urzędu certyfikacji dla HTTPS?
google-chrome
security
ssl
certificate
Abelenky
źródło
źródło
Odpowiedzi:
Często nie. W rzeczywistości często SysAdmins szpieguje sesje pracowników HTTPS: po cichu wypychają zaufany certyfikat na wszystkie komputery stacjonarne, a ten zaufany certyfikat pozwala pośredniczącemu proxy na skanowanie treści MITM bez powiadamiania użytkowników końcowych. (Wyszukaj „wypchnij urząd certyfikacji dla zasad grupy proxy HTTPS” - zabrakło linków z moją niską reputacją!)
Istnieje kilka, na ogół domyślna lista certyfikatów dotyczących instalacji systemu operacyjnego. Istnieją jednak TAKŻE zakodowane na stałe listy urzędów certyfikacji w niektórych przeglądarkach (np. Http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) w celu obsługi rozszerzonej weryfikacji („zielone słupki”), ale listy EV również się różnią (np. http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )
Ogólnie tak ... jeśli wszystko, co robisz, to surfowanie po stronach internetowych. Mogą jednak wystąpić inne problemy z uruchomieniem niektórych aplikacji do podpisywania.
Hmmmm ... brzmi jak aplikacja, która wymaga napisania. ;)
źródło