Me gustaría reforzar un poco la seguridad, por lo que deshabilito los certificados innecesarios de mis navegadores. Por ejemplo, el certificado "WoSign CA Limited" de China obviamente no lo necesito, pero "Thawte Consulting cc" sí.
¿Hay alguna forma de ver qué certificados he usado realmente para poder comenzar a tomar decisiones informadas? Tomemos por ejemplo "Trustis Limited". ¿Sobre qué base decidiría conservarlo o dejarlo? Además, además de "Thawte Consulting cc" hay un certificado para "thawte, Inc.". ¿Podría uno ser una parodia? ¿Cómo puedo saber?
google-chrome
firefox
security
ssl
certificate
dotancohen
fuente
fuente
Respuestas:
Episodio # 481 de la seguridad ahora! El podcast toca el tema relacionado de la Transparencia del Certificado . La pregunta "¿en qué CA puedo confiar?" se reemplaza por "¿qué certificados se sabe que representan un sitio determinado?".
Una vez que el RFC 6962 se despliega universalmente, nos permite detectar que la "Oficina de Correos de Hong Kong CA" (también conocido como el Gobierno de China) ha emitido un certificado fraudulento a www.gmail.com que su navegador anterior a 2015 aceptaría con gusto.
El concepto de que se confía en cientos de CA para emitir certificados a cualquier sitio es una locura.
fuente