Как узнать, какие сертификаты оставить в моем браузере, а какие удалить

12

Я хотел бы немного повысить безопасность, поэтому отключаю ненужные сертификаты в своих браузерах. Например, сертификат «WoSign CA Limited» из Китая мне явно не нужен, а вот «Thawte Consulting cc» мне нужен.

Есть ли способ узнать, какие сертификаты я на самом деле использовал, чтобы начать принимать обоснованные решения? Взять, к примеру, «Трастис Лимитед». На каком основании я бы решил оставить его или оставить. Кроме того, в дополнение к «Thawte Consulting cc» есть сертификат для «thawte, Inc.». Можно подделать? Откуда мне знать?

google-chrome firefox security ssl certificate dotancohen
источник
3
Это сложная проблема. Вы не можете точно знать, что является законным, и вы даже не знаете, что вам нужно и понадобится в будущем (поставщики услуг, на которых вы полагаетесь, могут изменить используемый ими CA, см. Certificate Patrol, чтобы получить представление о частоте CA переключается). Одна из причин, почему некоторые люди в сообществе безопасности считают систему ЦС принципиально сломанной. Большинству людей, как правило, приходится полагаться на mozilla (или кто-либо, составляющий ваше хранилище сертификатов, может быть, в вашем случае Google), чтобы проводить разумные тесты на сертификаты, для которых они получают приложения.
Йонас Шефер
4
На самом деле, Certificate Patrol будет именно тем, что вы хотите (это плюс несколько недель использования). Тем не менее, он не доступен для Google Chrome .
Йонас Шефер
@JonasWielicki, это не так сложно. Мы можем избирательно блокировать страны, а затем , когда есть проблема, мы можем затем решить , если мы хотели бы включить его обратно в список. Сначала запрет, белый список позже.
Pacerier
@Pacerier Я не думаю, что это легко. Во-первых, если вы заблокируете целые CA на основе Five-Eyes (что я бы сделал, если бы я отнесся к этому серьезно), вы бы немедленно занесли их в белый список. Там ничего не победило. Сертификат Патруль обладает тем преимуществом, что он информирует вас о «подозрительных» изменениях в сертификатах (таких как преждевременные изменения сертификатов или изменения CA).
Йонас Шефер

Ответы:

7

Эпизод # 481 из Now безопасности! Подкаст затрагивает смежную тему прозрачности сертификатов . Вопрос "каким ЦС я могу доверять?" заменяется на «какие сертификаты, как известно, представляют данный сайт?».

После повсеместного развертывания RFC 6962 мы можем обнаружить, что «Почтовое отделение Гонконга» (так называемое правительство Китая) выдало поддельный сертификат www.gmail.com, который в противном случае с радостью принял бы ваш браузер до 2015 года.

Идея, что сотням CA доверяют выдавать сертификаты на любой сайт, безумна.

Андреас Ф
источник
4
Очевидно, у Firefox есть патч, который будет поддерживать RFC 6962 в течение года, но он не был принят в транк.
dotancohen
1
Не могли бы вы явно привести воображаемый пример как воображаемый или привести цитаты?
Фоагон