À quelles autorités de certification racine de confiance dois-je faire confiance?

10

Après deux articles récents de Slashdot ( # 1 # 2 ) sur les certificats racine douteux installés sur les machines, j'ai décidé de regarder de plus près ce que j'ai installé sur mes machines.
(J'utilise les versions actuelles de Chrome sur Win7, qui, je crois, utilisent la liste des autorités de certification de Windows)

Ce que j'ai trouvé m'a vraiment surpris.

  • Deux machines relativement propres avaient des listes de CA très différentes.
  • Chacun avait un certain nombre de CA qui avaient expiré en 1999 et 2004!
  • L'identité de nombreux CA n'est pas facile à comprendre.

J'ai également vu que de nombreux certificats expirent en 2037, peu de temps avant le basculement UNIX, probablement pour éviter tout bogue de type Y2K38 actuellement inconnu. Mais d'autres certificats sont bons pour beaucoup plus longtemps.

J'ai cherché autour, mais, de façon assez surprenante, je n'ai pas pu trouver une liste canonique des AC généralement acceptées.

  • Si j'avais un certificat de voyous MITM sur ma machine, comment le saurais-je?
  • Existe-t-il une liste de certificats "acceptés"?
  • Suis-je en sécurité pour supprimer les autorités de certification expirées?
  • Puis-je savoir si / quand j'ai déjà utilisé une autorité de certification pour HTTPS?
google-chrome security ssl certificate abelenky
la source
1
Toutes d'excellentes questions. Vous pouvez penser à rechercher des messages
Rich Homolka

Réponses:

2

Si j'avais un certificat de voyous MITM sur ma machine, comment le saurais-je?

Vous ne le feriez pas souvent. En fait, c'est souvent ainsi que SysAdmins espionne les sessions HTTPS des employés: ils poussent discrètement un certificat de confiance vers tous les bureaux, et ce certificat de confiance permet à un proxy intermédiaire de scanner le contenu MITM sans alerter les utilisateurs finaux. (Recherchez "Poussez CA pour la stratégie de groupe de proxy https" - manque de liens avec ma mauvaise réputation!)

Existe-t-il une liste de certificats "acceptés"?

Il existe quelques-uns, généralement la liste par défaut des certificats sur les installations du système d'exploitation en stock. Cependant, il existe ÉGALEMENT des listes codées en dur des autorités de certification dans certains navigateurs (par exemple, http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) pour prendre en charge la validation étendue ("barres vertes"), mais les listes EV varient également (par exemple, http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Suis-je en sécurité pour supprimer les autorités de certification expirées?

Généralement, oui ... si vous ne faites que surfer sur des sites Web. Cependant, vous pouvez rencontrer d'autres problèmes lors de l'exécution de certaines applications de signature.

Puis-je savoir si / quand j'ai déjà utilisé une autorité de certification pour HTTPS?

Hmmmm ... ressemble à une application qui a besoin d'une écriture. ;)

user309526
la source