Otoritas Sertifikasi Root Tepercaya apa yang harus saya percayai?

10

Setelah dua artikel Slashdot baru-baru ini ( # 1 # 2 ) tentang Root Certificate yang dipertanyakan yang diinstal pada mesin, saya memutuskan untuk melihat lebih dekat apa yang telah saya instal pada mesin saya.
(Saya menggunakan versi Chrome saat ini pada Win7, yang saya pahami menggunakan daftar Windows CA)

Apa yang saya temukan benar-benar mengejutkan saya.

  • Dua mesin yang relatif bersih memiliki daftar CA yang sangat berbeda.
  • Masing-masing memiliki sejumlah CA yang telah kedaluwarsa pada 1999 dan 2004!
  • Identitas banyak CA tidak mudah dipahami.

Saya juga melihat bahwa banyak sertifikat kedaluwarsa pada 2037, tak lama sebelum rollover UNIX, mungkin untuk menghindari bug tipe Y2K38 yang saat ini tidak diketahui. Tapi sertifikat lainnya bagus untuk waktu yang lama.

Saya mencari di sekitar, tetapi, agak mengejutkan, tidak dapat menemukan daftar kanonik yang CAs umumnya diterima.

  • Jika saya memiliki sertifikat nakal MITM di mesin saya, bagaimana saya tahu?
  • Apakah ada daftar sertifikat "yang diterima"?
  • Apakah saya aman dalam mengeluarkan CA yang kedaluwarsa?
  • Bisakah saya tahu jika / kapan saya pernah menggunakan CA untuk HTTPS?
kasar
sumber
1
Semua pertanyaan bagus. Anda mungkin berpikir tentang mencari beberapa posting
Rich Homolka

Jawaban:

2

Jika saya memiliki sertifikat nakal MITM di mesin saya, bagaimana saya tahu?

Anda sering tidak mau. Faktanya, ini adalah bagaimana SysAdmins mengintip sesi-sesi HTTPS karyawan: mereka dengan diam-diam mendorong sertifikat tepercaya ke semua desktop, dan bahwa sertifikat tepercaya memungkinkan proxy perantara ke konten pemindaian MITM tanpa memberi tahu pengguna akhir. (Lihat "push CA untuk https kebijakan grup proxy" - kehabisan tautan dengan reputasi rendah saya!)

Apakah ada daftar sertifikat "yang diterima"?

Ada beberapa, umumnya daftar sertifikat standar pada instalasi sistem operasi persediaan. Namun, ada juga daftar CA yang di-hardcode di browser tertentu (mis., Http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) untuk mendukung Validasi Diperpanjang ("bilah hijau"), tetapi daftar EV juga bervariasi (mis., http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Apakah saya aman dalam mengeluarkan CA yang kedaluwarsa?

Secara umum, ya ... jika yang Anda lakukan hanyalah menjelajahi situs web. Namun, Anda mungkin mengalami masalah lain yang menjalankan aplikasi penandatanganan tertentu.

Bisakah saya tahu jika / kapan saya pernah menggunakan CA untuk HTTPS?

Hmmmm ... kedengarannya seperti aplikasi yang perlu ditulis. ;)

pengguna309526
sumber