Каким доверенным корневым центрам сертификации мне следует доверять?

10

После двух последних статей Slashdot ( # 1 # 2 ) о сомнительных корневых сертификатах, установленных на компьютерах, я решил поближе взглянуть на то, что я установил на своих компьютерах.
(Я использую текущие версии Chrome на Win7, который, как я понимаю, использует список центров сертификации Windows)

То, что я нашел, действительно удивило меня.

  • Две относительно чистые машины имели совершенно разные списки CA.
  • У каждого было несколько CA, срок действия которых истек в 1999 и 2004 годах!
  • Идентичность многих из CA нелегко понять.

Я также видел, что срок действия многих сертификатов истекает в 2037 году, незадолго до пролонгации UNIX, предположительно, чтобы избежать каких-либо неизвестных в настоящее время ошибок типа Y2K38. Но другие сертификаты хороши гораздо дольше.

Я искал вокруг, но, что удивительно, не смог найти канонический список, из которых CA обычно принимаются.

  • Если бы у меня на машине был мошеннический сертификат MITM, как бы я узнал?
  • Существует ли список «принятых» сертификатов?
  • Я в безопасности в удалении просроченных ЦС?
  • Могу ли я узнать, когда / когда я когда-либо использовал CA для HTTPS?
abelenky
источник
1
Все отличные вопросы. Вы можете подумать о поиске некоторых сообщений на
Rich Homolka

Ответы:

2

Если бы у меня на машине был мошеннический сертификат MITM, как бы я узнал?

Вы часто не будете. Фактически, именно так SysAdmins отслеживает сеансы HTTPS сотрудников: они тихо распространяют доверенный сертификат на все настольные компьютеры, и этот доверенный сертификат позволяет использовать промежуточный прокси-сервер для содержимого сканирования MITM без предупреждения конечных пользователей. (Ищите «выдвиньте CA для политики групп прокси https» - закончились ссылки с моей низкой репутацией!)

Существует ли список «принятых» сертификатов?

Существует несколько, как правило, список сертификатов по умолчанию для стандартных операционных систем. Однако в некоторых браузерах также есть жестко закодированные списки CA (например, http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) для поддержки расширенной проверки («зеленые полосы»), но списки EV также различаются (например, http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Я в безопасности в удалении просроченных ЦС?

Как правило, да ... если все, что вы делаете, это серфинг веб-сайтов. Однако вы можете столкнуться с другими проблемами при запуске определенных приложений для подписи.

Могу ли я узнать, когда / когда я когда-либо использовал CA для HTTPS?

Хмммм ... звучит как приложение, которое нуждается в написании. ;)

user309526
источник