12

Я хотел бы немного повысить безопасность, поэтому отключаю ненужные сертификаты в своих браузерах. Например, сертификат "WoSign CA Limited" из Китая мне явно не нужен, но мне нужен "Thawte Consulting cc".

Есть ли способ узнать, какие сертификаты я на самом деле использовал, чтобы начать принимать обоснованные решения? Взять, к примеру, "Трастис Лимитед". На каком основании я бы решил оставить его или оставить. Кроме того, помимо "Thawte Consulting cc" есть сертификат для «thawte, Inc.». Можно подделать? Откуда мне знать?

|источник

1 ответ1

7

Эпизод № 481 о безопасности сейчас! Подкаст затрагивает смежную тему прозрачности сертификатов. Вопрос "каким ЦС я могу доверять?"заменяется", какие сертификаты, как известно, представляют данный сайт?».

После повсеместного развертывания RFC 6962 мы можем обнаружить, что "CA Post Office CA" (правительство Китая) выпустило поддельный сертификат для www.gmail.com, который в противном случае с радостью принял бы ваш браузер до 2015 года.

Идея, что сотням CA доверяют выдавать сертификаты на любой сайт, безумна.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .