Em que autoridades de certificação raiz confiáveis ​​devo confiar?

10

Depois de dois artigos recentes do Slashdot ( # 1 # 2 ) sobre Certificados Raiz questionáveis ​​instalados nas máquinas, decidi examinar mais de perto o que havia instalado nas minhas máquinas.
(Eu uso versões atuais do Chrome no Win7, que eu entendo que usa a lista de CAs do Windows)

O que eu achei realmente me surpreendeu.

  • Duas máquinas relativamente limpas tinham listas muito diferentes de autoridades de certificação.
  • Cada um tinha várias CAs que haviam expirado em 1999 e 2004!
  • A identidade de muitas das ACs não é fácil de entender.

Também vi que muitos certificados expiram em 2037, pouco antes da rolagem do UNIX, presumivelmente para evitar erros do tipo Y2K38 atualmente desconhecidos. Mas outros certificados são bons por muito mais tempo.

Eu procurei, mas, surpreendentemente, não consegui encontrar uma lista canônica das CAs geralmente aceitas.

  • Se eu tivesse um certificado desonesto do MITM na minha máquina, como eu saberia?
  • Existe uma lista de certificados "aceitos"?
  • Estou seguro em remover as CAs expiradas?
  • Posso saber se / quando eu usei uma CA para HTTPS?
google-chrome security ssl certificate abelenky
fonte
1
Todas excelentes perguntas. Você pode pensar sobre busca algumas security.stackexchange.com mensagens
rico Homolka

Respostas:

2

Se eu tivesse um certificado desonesto do MITM na minha máquina, como eu saberia?

Você frequentemente não. De fato, é assim que os SysAdmins snoop as sessões HTTPS dos funcionários: eles transmitem silenciosamente um certificado confiável a todos os desktops, e esse certificado confiável permite um proxy intermediário para o MITM varrer o conteúdo sem alertar os usuários finais. (Procure "enviar a CA para a política de grupo de proxy https" - ficou sem links com minha baixa reputação!)

Existe uma lista de certificados "aceitos"?

Existem algumas, geralmente a lista padrão de certificados nas instalações do sistema operacional em estoque. No entanto, também existem listas de CAs codificadas em determinados navegadores (por exemplo, http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) para oferecer suporte à validação estendida ("barras verdes"), mas as listas de EV também variam (por exemplo, http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Estou seguro em remover as CAs expiradas?

Geralmente, sim ... se tudo o que você está fazendo é navegar em sites. No entanto, você pode encontrar outros problemas ao executar determinados aplicativos de assinatura.

Posso saber se / quando eu já usei uma CA para HTTPS?

Hmmmm ... parece um aplicativo que precisa ser escrito. ;)

user309526
fonte