¿En qué autoridades de certificación raíz de confianza debo confiar?

10

Después de dos artículos recientes de Slashdot ( # 1 # 2 ) sobre certificados raíz cuestionables instalados en máquinas, decidí echar un vistazo más de cerca a lo que he instalado en mis máquinas.
(Utilizo versiones actuales de Chrome en Win7, que entiendo utiliza la lista de CA de Windows)

Lo que encontré realmente me sorprendió.

  • Dos máquinas relativamente limpias tenían listas muy diferentes de AC.
  • ¡Cada uno tenía varias AC que habían expirado en 1999 y 2004!
  • La identidad de muchas de las AC no es fácil de entender.

También vi que muchos certificados caducan en 2037, poco antes del reinicio de UNIX, presumiblemente para evitar cualquier error de tipo Y2K38 actualmente desconocido. Pero otros certificados son buenos por mucho más tiempo.

Busqué alrededor, pero, de manera algo sorprendente, no pude encontrar una lista canónica de las AC que generalmente se aceptan.

  • Si tuviera un certificado falso de MITM en mi máquina, ¿cómo podría saberlo?
  • ¿Existe una lista de certs "aceptados"?
  • ¿Estoy seguro de eliminar las CA vencidas?
  • ¿Puedo saber si alguna vez he usado una CA para HTTPS?
google-chrome security ssl certificate abelenky
fuente
1
Todas excelentes preguntas. Puede pensar en buscar algunas publicaciones de
Rich Homolka

Respuestas:

2

Si tuviera un certificado falso de MITM en mi máquina, ¿cómo podría saberlo?

A menudo no lo harías. De hecho, esta es la forma en que SysAdmins espía las sesiones HTTPS de los empleados: envían silenciosamente un certificado de confianza a todos los escritorios, y ese certificado de confianza permite un proxy intermedio para el contenido de escaneo MITM sin alertar a los usuarios finales. (Busque "expulsar CA para la política de grupo de proxy https" - ¡se quedaron sin enlaces con mi baja reputación!)

¿Existe una lista de certs "aceptados"?

Hay algunos, generalmente la lista predeterminada de certs en las instalaciones de stock del sistema operativo. Sin embargo, TAMBIÉN hay listas codificadas de CA en ciertos navegadores (por ejemplo, http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) para admitir Validación Extendida ("barras verdes"), pero las listas de EV también varían (por ejemplo, http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

¿Estoy seguro de eliminar las CA vencidas?

En general, sí ... si todo lo que está haciendo es navegar por sitios web. Sin embargo, puede encontrarse con otros problemas al ejecutar ciertas aplicaciones de firma.

¿Puedo saber si alguna vez he usado una CA para HTTPS?

Hmmmm ... suena como una aplicación que necesita una escritura. ;)

usuario309526
fuente