Hangi Güvenilen Kök Sertifika Yetkililerine güvenmeliyim?

10

Makinelere yüklenen şüpheli Kök Sertifikalarla ilgili en son iki Slashdot makalesinden ( # 1 # 2 ) sonra , makinelerime yüklediklerime daha yakından bakmaya karar verdim.
(Win7'de Chrome'un Windows CA listesini kullandığını anladığım güncel sürümlerini kullanıyorum)

Bulduğum şey beni gerçekten şaşırttı.

  • Nispeten temiz olan iki makinede çok farklı CA listeleri vardı.
  • Her birinin 1999 ve 2004'te süresi dolan bir dizi CA'sı vardı!
  • CA'ların çoğunun kimliğini anlamak kolay değildir.

Ayrıca, pek çok sertifikanın, UNIX rollover'ından kısa bir süre önce 2037'de sona erdiğini, muhtemelen şu anda bilinmeyen Y2K38 tipi hatalardan kaçındığını gördüm. Ancak diğer certs daha uzun süre iyidir.

Etrafı araştırdım, ancak şaşırtıcı bir şekilde CA'ların genellikle kabul edildiği kanonik bir liste bulamadım.

  • Makinemde bir MITM haydut sertifikası olsaydı nasıl bilebilirdim ki?
  • "Kabul edilen" sertifikaların bir listesi var mı?
  • Süresi dolmuş CA'ları kaldırmakta güvenli miyim?
  • Ben ne zaman eğer / Biliyorum Can hiç HTTPS bir CA kullanılan?
google-chrome  security  ssl  certificate 
abelenky
kaynak
1
Tüm mükemmel sorular. Bazı security.stackexchange.com yayınlarını
Rich Homolka

Yanıtlar:

2

Makinemde bir MITM haydut sertifikası olsaydı nasıl bilebilirdim ki?

Sık sık yapmazdın. Aslında, bu genellikle SysAdmins çalışanlarının HTTPS oturumlarını gözetleme yöntemidir: sessiz bir şekilde tüm masaüstlerine güvenilir bir sertifika gönderir ve bu güvenilir sertifika, son kullanıcıları uyarmadan MITM tarama içeriğini ara ara proxy'ye izin verir. ("Https proxy grubu politikası için CA'yı dışarı it" konusuna bakın - düşük itibarımla bağlantılar tükendi!)

"Kabul edilen" sertifikaların bir listesi var mı?

Stok işletim sistemi kurulumlarında genellikle birkaç varsayılan varsayılan liste vardır. Ancak, Genişletilmiş Tarayıcıyı ("yeşil çubuklar") desteklemek için bazı tarayıcılarda ALSO sabit kodlu CA'lar listesi de vardır (ör. Http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ), ancak EV listeleri de değişir (ör. http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Süresi dolmuş CA'ları kaldırmakta güvenli miyim?

Genel olarak, evet ... Yaptığınız tek şey web sitelerinde gezinmekse. Ancak, belirli imzalama uygulamalarını çalıştıran diğer sorunlarla karşılaşabilirsiniz.

HTTPS için CA kullandığımı / ne zaman kullandığımı öğrenebilir miyim?

Hmmmm ... a-yazması gereken bir uygulama gibi geliyor. ;)

user309526
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.