Em quais autoridades de certificação raiz confiáveis devo confiar?

9

Depois de dois artigos recentes do Slashdot ( # 1 # 2 ) sobre Certificados Raiz questionáveis instalados em máquinas, decidi dar uma olhada mais de perto no que eu instalei em minhas máquinas.
(eu uso versões atuais do Chrome no Win7, que eu entendo usa a lista do Windows de CAs)

O que eu encontrei realmente me surpreendeu.

  • Duas máquinas relativamente limpas tinham listas muito diferentes de CAs.
  • Cada um tinha um número de CAs que expiraram em 1999 e 2004!
  • A identidade de muitas CAs não é fácil de entender.

Eu também vi que muitos certificados expiram em 2037, pouco antes do rollover do UNIX, presumivelmente para evitar quaisquer erros do tipo Y2K38 atualmente desconhecidos. Mas outras certs são boas por muito mais tempo.

Eu pesquisei por aí, mas surpreendentemente, não consegui encontrar uma lista canônica de quais CAs são geralmente aceitas.

  • Se eu tivesse um cert falso de MITM na minha máquina, como eu saberia?
  • Existe uma lista de certificados "aceitos"?
  • Estou seguro em remover as CAs expiradas?
  • Posso saber se / quando tenho alguma vez utilizado uma CA para HTTPS?
por abelenky 10.03.2014 / 16:24

1 resposta

1

If I had a MITM rogue cert on my machine, how would I even know?

Você frequentemente não faria isso. Na verdade, muitas vezes é como os SysAdmins espionam as sessões HTTPS dos funcionários: enviam silenciosamente um certificado confiável para todos os desktops, e esse certificado confiável permite um proxy intermediário para o conteúdo de verificação do MITM sem alertar os usuários finais. (Olhe para cima "push out CA para https proxy group policy" - ficou sem links com a minha baixa reputação!)

Does a list of "accepted" certs exist?

Existem algumas, geralmente a lista padrão de certificados nas instalações do sistema operacional de estoque. No entanto, também existem listas codificadas de autoridades de certificação em certos navegadores (por exemplo, link ) para suportar Extended Validation ("barras verdes"), mas as listas EV também variam (por exemplo, link )

Am I safe in removing the expired CAs?

Geralmente, sim ... se tudo o que você está fazendo é navegar em sites. No entanto, você pode encontrar outros problemas ao executar determinados aplicativos de assinatura.

Can I know if/when I have ever used a CA for HTTPS?

Hmmmm ... parece um aplicativo que precisa ser escrito. ;)

    
por 21.03.2014 / 16:45