Saya ingin sedikit memperketat keamanan, jadi saya menonaktifkan sertifikat yang tidak diperlukan dari browser saya. Sebagai contoh, sertifikat "WoSign CA Limited" dari China saya jelas tidak perlu, namun "Thawte Consulting cc" saya lakukan.
Apakah ada cara untuk melihat sertifikat mana yang sebenarnya saya gunakan sehingga saya bisa mulai membuat keputusan berdasarkan informasi? Ambil contoh "Trustis Limited". Atas dasar apa saya memutuskan untuk menyimpan atau meninggalkannya. Selain itu, selain "Thawte Consulting cc" ada sertifikat untuk "thawte, Inc.". Mungkinkah seseorang menjadi spoof? Bagaimana saya tahu?
google-chrome
firefox
security
ssl
certificate
dotancohen
sumber
sumber
Jawaban:
Episode # 481 dari Sekarang Keamanan! sentuhan podcast pada subjek terkait Transparansi Sertifikat . Pertanyaan "CA mana yang bisa saya percayai?" diganti dengan "sertifikat mana yang diketahui mewakili situs tertentu?".
Setelah RFC 6962 digunakan secara universal, kami dapat mendeteksi bahwa "Kantor Pos Hong Kong CA" (alias Pemerintah Chineese) telah mengeluarkan sertifikat penipuan ke www.gmail.com yang sebelumnya diterima dengan senang hati oleh peramban pra-2015 Anda.
Konsep bahwa ratusan CA dipercaya untuk mengeluarkan sertifikat ke situs mana pun adalah gila.
sumber