Cómo saber qué certificados dejar en mi navegador y cuáles eliminar

12

Me gustaría reforzar un poco la seguridad, por lo que deshabilito los certificados innecesarios de mis navegadores. Por ejemplo, el certificado "WoSign CA Limited" de China obviamente no lo necesito, pero "Thawte Consulting cc" sí.

¿Hay alguna forma de ver qué certificados he usado realmente para poder comenzar a tomar decisiones informadas? Tomemos por ejemplo "Trustis Limited". ¿Sobre qué base decidiría conservarlo o dejarlo? Además, además de "Thawte Consulting cc" hay un certificado para "thawte, Inc.". ¿Podría uno ser una parodia? ¿Cómo puedo saber?

google-chrome firefox security ssl certificate dotancohen
fuente
3
Es este un problema difícil. Realmente no puede saber cuáles son legítimos, y ni siquiera sabe cuáles necesita y necesitará en el futuro (los proveedores de servicios en los que confía pueden cambiar la CA que usan, consulte la Patrulla de certificados para tener una idea de la frecuencia de Interruptores de CA). Una de las razones por las cuales algunas personas en la comunidad de seguridad consideran que el sistema de CA está fundamentalmente roto. La mayoría de las personas normalmente tienen que depender de mozilla (o quien sea que componga su tienda de certificados, puede ser google en su caso) para realizar pruebas sensatas en los certificados para los que reciben solicitudes.
Jonas Schäfer
44
De hecho, Certificate Patrol sería exactamente lo que quieres (eso, más algunas semanas de uso). Sin embargo, no está disponible para Google Chrome .
Jonas Schäfer
@JonasWielicki, no es tan difícil. Podemos bloquear selectivamente por los países, entonces cuando hay un problema, podemos entonces decidir si nos gustaría incluirlo de nuevo en la lista. Prohibición primero, lista blanca después.
Pacerier
@Pacerier No creo que sea fácil. Primero, si bloquea todas las AC basadas en Five-Eyes (lo que haría si me lo tomase en serio), las volvería a incluir en la lista blanca de inmediato. Nada ganó allí. Certificate Patrol tiene la ventaja de que le informa sobre cambios "sospechosos" en los certificados (como cambios prematuros de certificados o cambios de la CA).
Jonas Schäfer

Respuestas:

7

Episodio # 481 de la seguridad ahora! El podcast toca el tema relacionado de la Transparencia del Certificado . La pregunta "¿en qué CA puedo confiar?" se reemplaza por "¿qué certificados se sabe que representan un sitio determinado?".

Una vez que el RFC 6962 se despliega universalmente, nos permite detectar que la "Oficina de Correos de Hong Kong CA" (también conocido como el Gobierno de China) ha emitido un certificado fraudulento a www.gmail.com que su navegador anterior a 2015 aceptaría con gusto.

El concepto de que se confía en cientos de CA para emitir certificados a cualquier sitio es una locura.

Andreas F
fuente
44
Aparentemente, Firefox ha tenido un parche que admitiría RFC 6962 durante un año, pero no ha sido aceptado en el tronco.
dotancohen
1
¿Podría por favor citar explícitamente un ejemplo imaginario como imaginario o proporcionar citas?
phoeagon