Chciałbym trochę zaostrzyć bezpieczeństwo, dlatego wyłączam niepotrzebne certyfikaty w moich przeglądarkach. Na przykład certyfikat „WoSign CA Limited” z Chin, którego oczywiście nie potrzebuję, a jednak „Thawte Consulting cc”.
Czy jest jakiś sposób, aby sprawdzić, które certyfikaty faktycznie wykorzystałem, aby móc podejmować świadome decyzje? Weźmy na przykład „Trustis Limited”. Na jakiej podstawie postanowiłbym to zatrzymać lub zostawić. Oprócz „Thawte Consulting cc” istnieje również certyfikat dla „thawte, Inc.”. Czy ktoś może być sfałszowany? Skąd mam wiedzieć?
google-chrome
firefox
security
ssl
certificate
dotancohen
źródło
źródło
Odpowiedzi:
Odcinek # 481 z Bezpieczeństwa Now! podcast dotyka pokrewnego tematu przejrzystości certyfikatu . Pytanie „w jaki urząd certyfikacji mogę ufać?” zastępuje się słowami „które certyfikaty reprezentują daną witrynę?”.
Po powszechnym wdrożeniu RFC 6962 pozwala nam to wykryć, że „Urząd pocztowy Hongkongu CA” (zwany także rządem Chin) wydał fałszywy certyfikat na www.gmail.com, który w przeciwnym razie Twoja przeglądarka sprzed 2015 roku chętnie by zaakceptowała.
Pomysł, że setkom urzędów certyfikacji ufają wydawania certyfikatów dowolnej witrynie, jest szalony.
źródło