Como saber quais certificados deixar no meu navegador e quais remover

12

Eu gostaria de reforçar um pouco a segurança, então estou desabilitando certificações desnecessárias dos meus navegadores. Por exemplo, o certificado "WoSign CA Limited" da China eu obviamente não preciso, mas "Thawte Consulting cc" eu faço.

Existe alguma maneira de ver quais certs eu realmente usei para que eu possa começar a tomar decisões informadas? Por exemplo, "Trustis Limited". Com base em que eu decidiria mantê-lo ou deixá-lo? Além disso, além de "Thawte Consulting cc" existe um certificado para "thawte, Inc.". Um pode ser uma paródia? Como eu saberia?

    
por dotancohen 29.09.2014 / 08:12

1 resposta

7

Episódio # 481 do Segurança Agora! O podcast aborda o assunto relacionado de Transparência do certificado . A pergunta "em que CA eu posso confiar?" é substituído por "quais certificados são conhecidos por representar um determinado site?".

Uma vez que o RFC 6962 é implantado universalmente, ele nos permite detectar que o "Hong Kong Post Office CA" (também conhecido como Governo Chineese) emitiu um certificado fraudulento para www.gmail.com que o seu navegador pré-2015 aceitaria de bom grado.

O conceito de que centenas de CAs são confiáveis para emitir certificados para qualquer site é uma loucura.

    
por 17.11.2014 / 22:55