Jak sprawdzić, które certyfikaty należy pozostawić w przeglądarce, a które usunąć

12

Chciałbym trochę zaostrzyć bezpieczeństwo, dlatego wyłączam niepotrzebne certyfikaty w moich przeglądarkach. Na przykład certyfikat „WoSign CA Limited” z Chin, którego oczywiście nie potrzebuję, a jednak „Thawte Consulting cc”.

Czy jest jakiś sposób, aby sprawdzić, które certyfikaty faktycznie wykorzystałem, aby móc podejmować świadome decyzje? Weźmy na przykład „Trustis Limited”. Na jakiej podstawie postanowiłbym to zatrzymać lub zostawić. Oprócz „Thawte Consulting cc” istnieje również certyfikat dla „thawte, Inc.”. Czy ktoś może być sfałszowany? Skąd mam wiedzieć?

dotancohen
źródło
3
To trudny problem. Nie możesz naprawdę wiedzieć, które są prawidłowe, a nawet nie wiesz, których potrzebujesz i będziesz potrzebować w przyszłości (usługodawcy, na których polegasz, mogą zmienić używany przez nich urząd certyfikacji, zobacz Patrol certyfikatu, aby dowiedzieć się o częstotliwości Przełączniki CA). Jednym z powodów, dla których niektórzy członkowie społeczności ds. Bezpieczeństwa uważają, że system CA jest zasadniczo uszkodzony. Większość ludzi zwykle musi polegać na mozilli (lub kimkolwiek, kto tworzy twoją bazę certyfikatów, w twoim przypadku może być Google), aby przeprowadzić rozsądne testy certyfikatów, na które otrzymują aplikacje.
Jonas Schäfer
4
W rzeczywistości Patrol certyfikacyjny byłby dokładnie tym, czego chcesz (plus kilka tygodni użytkowania). Jednak nie jest dostępny dla Google Chrome .
Jonas Schäfer
@JonasWielicki, To nie jest takie trudne. Możemy selektywnie blokować przez kraje, wtedy, gdy pojawia się jakiś problem, możemy wtedy zdecydować, czy chcemy, aby umieścić go z powrotem do listy. Najpierw zbanuj, później biała lista.
Pacerier
@Pacerier Nie sądzę, że to łatwe. Po pierwsze, jeśli zablokujesz całe CA oparte na Five-Eyes (co zrobiłbym, gdybym to potraktował poważnie), natychmiast ponownie umieścisz je na białej liście. Nic tam nie wygrało. Patrol certyfikatów ma tę zaletę, że informuje o „podejrzanych” zmianach w certyfikatach (takich jak przedwczesne zmiany certyfikatów lub zmiany urzędu certyfikacji).
Jonas Schäfer

Odpowiedzi:

7

Odcinek # 481 z Bezpieczeństwa Now! podcast dotyka pokrewnego tematu przejrzystości certyfikatu . Pytanie „w jaki urząd certyfikacji mogę ufać?” zastępuje się słowami „które certyfikaty reprezentują daną witrynę?”.

Po powszechnym wdrożeniu RFC 6962 pozwala nam to wykryć, że „Urząd pocztowy Hongkongu CA” (zwany także rządem Chin) wydał fałszywy certyfikat na www.gmail.com, który w przeciwnym razie Twoja przeglądarka sprzed 2015 roku chętnie by zaakceptowała.

Pomysł, że setkom urzędów certyfikacji ufają wydawania certyfikatów dowolnej witrynie, jest szalony.

Andreas F.
źródło
4
Najwyraźniej Firefox ma łatkę , która obsługiwałaby RFC 6962 od roku, ale nie została przyjęta do pnia.
dotancohen,
1
Czy mógłbyś wyraźnie podać wymyślony przykład jako wymyślony lub podać cytaty?
phoeagon