Bagaimana cara mengetahui Sertifikat mana yang harus ditinggalkan di browser saya, dan yang harus dihapus

12

Saya ingin sedikit memperketat keamanan, jadi saya menonaktifkan sertifikat yang tidak diperlukan dari browser saya. Sebagai contoh, sertifikat "WoSign CA Limited" dari China saya jelas tidak perlu, namun "Thawte Consulting cc" saya lakukan.

Apakah ada cara untuk melihat sertifikat mana yang sebenarnya saya gunakan sehingga saya bisa mulai membuat keputusan berdasarkan informasi? Ambil contoh "Trustis Limited". Atas dasar apa saya memutuskan untuk menyimpan atau meninggalkannya. Selain itu, selain "Thawte Consulting cc" ada sertifikat untuk "thawte, Inc.". Mungkinkah seseorang menjadi spoof? Bagaimana saya tahu?

dotancohen
sumber
3
Ini masalah yang sulit. Anda tidak dapat benar-benar tahu mana yang sah, dan Anda bahkan tidak tahu mana yang Anda butuhkan dan butuhkan di masa depan (penyedia layanan yang Anda andalkan dapat mengubah CA yang mereka gunakan, lihat Patroli Sertifikat untuk mendapatkan gagasan tentang frekuensi Switch CA). Salah satu alasan mengapa beberapa orang di komunitas keamanan menganggap sistem CA rusak secara fundamental. Kebanyakan orang biasanya harus mengandalkan mozilla (atau siapa pun yang menyusun toko sertifikat Anda, mungkin google dalam kasus Anda) untuk melakukan tes masuk akal pada sertifikat yang mereka terima untuk aplikasi.
Jonas Schäfer
4
Bahkan, Patroli Sertifikat akan persis seperti yang Anda inginkan (itu, ditambah beberapa minggu penggunaan). Namun, itu tidak tersedia untuk google chrome .
Jonas Schäfer
@JonasWielicki, Tidak terlalu sulit. Kita dapat secara selektif memblokir berdasarkan negara, maka ketika ada masalah, kita kemudian dapat memutuskan apakah kita ingin memasukkannya kembali ke dalam daftar. Larangan dulu, daftar putih nanti.
Pacerier
@ Peracer Saya tidak berpikir itu mudah. Pertama, jika Anda memblokir seluruh CA berbasis Lima Mata (yang akan saya lakukan jika saya menganggap serius ini), Anda akan segera memasukkan ulang daftar putih mereka. Tidak ada yang menang di sana. Sertifikat Patroli memiliki keuntungan rapi yang memberi tahu Anda tentang perubahan "mencurigakan" dalam sertifikat (seperti, perubahan sertifikat prematur atau perubahan CA).
Jonas Schäfer

Jawaban:

7

Episode # 481 dari Sekarang Keamanan! sentuhan podcast pada subjek terkait Transparansi Sertifikat . Pertanyaan "CA mana yang bisa saya percayai?" diganti dengan "sertifikat mana yang diketahui mewakili situs tertentu?".

Setelah RFC 6962 digunakan secara universal, kami dapat mendeteksi bahwa "Kantor Pos Hong Kong CA" (alias Pemerintah Chineese) telah mengeluarkan sertifikat penipuan ke www.gmail.com yang sebelumnya diterima dengan senang hati oleh peramban pra-2015 Anda.

Konsep bahwa ratusan CA dipercaya untuk mengeluarkan sertifikat ke situs mana pun adalah gila.

Andreas F
sumber
4
Rupanya Firefox telah memiliki tambalan yang akan mendukung RFC 6962 selama setahun sekarang, tetapi belum diterima ke dalam bagasi.
dotancohen
1
Bisakah Anda mengutip secara eksplisit contoh imajiner sebagai imajiner atau memberikan kutipan?
phoeagon