Como saber quais certificados deixar no meu navegador e quais remover

12

Gostaria de reforçar um pouco a segurança, por isso estou desativando certs desnecessários de meus navegadores. Por exemplo, o certificado "WoSign CA Limited" da China, obviamente, não preciso, mas ainda o "Thawte Consulting cc".

Existe alguma maneira de ver quais documentos eu realmente usei para poder começar a tomar decisões informadas? Tomemos, por exemplo, "Trustis Limited". Em que base eu decidiria mantê-lo ou deixá-lo. Além disso, além de "Thawte Consulting cc", existe um certificado para "thawte, Inc.". Pode ser uma paródia? Como eu iria saber?

google-chrome firefox security ssl certificate dotancohen
fonte
3
Este é um problema díficil. Você não pode realmente saber quais são legítimos e nem mesmo sabe o que precisa e precisará no futuro (os provedores de serviços nos quais você confia podem alterar a autoridade de certificação que eles usam, consulte Patrulha de Certificação para ter uma idéia da frequência de Comutadores CA). Uma das razões pelas quais algumas pessoas na comunidade de segurança consideram o sistema da CA fundamentalmente quebrado. A maioria das pessoas normalmente precisa contar com o mozilla (ou quem compõe seu armazenamento de certificados, pode ser o google no seu caso) para fazer testes sensatos nos certificados para os quais recebe pedidos.
Jonas Schäfer
4
De fato, o Certificate Patrol seria exatamente o que você deseja (mais algumas semanas de uso). No entanto, ele não está disponível para o google chrome .
Jonas Schäfer
@JonasWielicki, não é tão difícil. Nós podemos bloquear seletivamente pelos países, então quando há um problema, podemos então decidir se gostaríamos de incluí-lo de volta para a lista. Banir primeiro, lista branca depois.
Pacerier 25/05
@ Pacerier Não acho fácil. Primeiro, se você bloquear todas as autoridades de certificação baseadas em cinco olhos (o que eu faria se eu levasse isso a sério), você as recolocaria imediatamente novamente. Nada ganhou lá. A Patrulha de Certificados tem a grande vantagem de informar sobre alterações "suspeitas" nos certificados (como alterações prematuras de certificado ou alterações da CA).
Jonas Schäfer

Respostas:

7

Episódio 481 da segurança agora! o podcast aborda o assunto relacionado à transparência do certificado . A pergunta "em quais autoridades de certificação posso confiar?" é substituído por "quais certificados são conhecidos por representar um determinado site?".

Uma vez que o RFC 6962 é universalmente implantado, permite-nos detectar que o "CA dos Correios de Hong Kong" (também conhecido como Governo da China) emitiu um certificado fraudulento para www.gmail.com que seu navegador anterior a 2015 aceitaria com satisfação.

É louco o conceito de que centenas de autoridades de certificação emitem certificados para qualquer site.

Andreas F
fonte
4
Aparentemente, o Firefox tem um patch que suporta RFC 6962 há um ano, mas não foi aceito no porta-malas.
dotancohen
1
Você poderia citar explicitamente um exemplo imaginário como imaginário ou fornecer citações?
Phoeagon 03/03