Я хотел бы немного повысить безопасность, поэтому отключаю ненужные сертификаты в своих браузерах. Например, сертификат «WoSign CA Limited» из Китая мне явно не нужен, а вот «Thawte Consulting cc» мне нужен.
Есть ли способ узнать, какие сертификаты я на самом деле использовал, чтобы начать принимать обоснованные решения? Взять, к примеру, «Трастис Лимитед». На каком основании я бы решил оставить его или оставить. Кроме того, в дополнение к «Thawte Consulting cc» есть сертификат для «thawte, Inc.». Можно подделать? Откуда мне знать?
3
Это сложная проблема. Вы не можете точно знать, что является законным, и вы даже не знаете, что вам нужно и понадобится в будущем (поставщики услуг, на которых вы полагаетесь, могут изменить используемый ими CA, см. Certificate Patrol, чтобы получить представление о частоте CA переключается). Одна из причин, почему некоторые люди в сообществе безопасности считают систему ЦС принципиально сломанной. Большинству людей, как правило, приходится полагаться на mozilla (или кто-либо, составляющий ваше хранилище сертификатов, может быть, в вашем случае Google), чтобы проводить разумные тесты на сертификаты, для которых они получают приложения.
—
Йонас Шефер
На самом деле, Certificate Patrol будет именно тем, что вы хотите (это плюс несколько недель использования). Тем не менее, он не доступен для Google Chrome .
—
Йонас Шефер
@JonasWielicki, это не так сложно. Мы можем избирательно блокировать страны, а затем , когда есть проблема, мы можем затем решить , если мы хотели бы включить его обратно в список. Сначала запрет, белый список позже.
—
Pacerier
@Pacerier Я не думаю, что это легко. Во-первых, если вы заблокируете целые CA на основе Five-Eyes (что я бы сделал, если бы я отнесся к этому серьезно), вы бы немедленно занесли их в белый список. Там ничего не победило. Сертификат Патруль обладает тем преимуществом, что он информирует вас о «подозрительных» изменениях в сертификатах (таких как преждевременные изменения сертификатов или изменения CA).
—
Йонас Шефер