10

После двух недавних статей Slashdot (# 1 # 2) о сомнительных корневых сертификатах, установленных на компьютерах, я решил поближе взглянуть на то, что я установил на своих компьютерах.
(Я использую текущие версии Chrome на Win7, который, как я понимаю, использует список центров сертификации Windows)

То, что я нашел, действительно удивило меня.

  • Две относительно чистые машины имели совершенно разные списки CA.
  • У каждого было несколько CA, срок действия которых истек в 1999 и 2004 годах!
  • Идентичность многих из CA нелегко понять.

Я также видел, что срок действия многих сертификатов истекает в 2037 году, незадолго до пролонгации UNIX, предположительно, чтобы избежать каких-либо неизвестных в настоящее время ошибок типа Y2K38. Но другие сертификаты хороши гораздо дольше.

Я искал вокруг, но, что удивительно, не смог найти канонический список, из которых CA обычно принимаются.

  • Если бы у меня на машине был мошеннический сертификат MITM, как бы я узнал?
  • Существует ли список "принятых" сертификатов?
  • Я в безопасности в удалении просроченных ЦС?
  • Могу ли я узнать, когда / когда я когда-либо использовал CA для HTTPS?

1 ответ1

2

Если бы у меня на машине был мошеннический сертификат MITM, как бы я узнал?

Вы часто не будете. Фактически, именно так SysAdmins отслеживает сеансы HTTPS сотрудников: они тихо распространяют доверенный сертификат на все рабочие столы, и этот доверенный сертификат позволяет использовать промежуточный прокси-сервер для содержимого сканирования MITM без предупреждения конечных пользователей. (Ищите "выдвиньте CA для политики групп прокси https" - закончились ссылки с моей низкой репутацией!)

Существует ли список "принятых" сертификатов?

Существует несколько, как правило, список сертификатов по умолчанию для стандартных операционных систем. Однако в некоторых браузерах также существуют жестко закодированные списки CA (например, http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp) для поддержки расширенной проверки ("зеленые столбцы"), но списки EV также различаются (например, http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm)

Я в безопасности в удалении просроченных ЦС?

Как правило, да ... если все, что вы делаете, это серфинг веб-сайтов. Однако вы можете столкнуться с другими проблемами при запуске определенных приложений для подписи.

Могу ли я узнать, когда / когда я когда-либо использовал CA для HTTPS?

Хмммм ... звучит как приложение, которое нуждается в написании. ;)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .