Comment savoir quels certificats laisser dans mon navigateur et lesquels supprimer

12

Je voudrais renforcer un peu la sécurité, donc je désactive les certificats inutiles de mes navigateurs. Par exemple, le certificat "WoSign CA Limited" de Chine dont je n'ai évidemment pas besoin, et pourtant "Thawte Consulting cc".

Existe-t-il un moyen de voir quels certificats j'ai réellement utilisés afin de pouvoir commencer à prendre des décisions éclairées? Prenons par exemple "Trustis Limited". Sur quelle base déciderais-je de le conserver ou de le quitter. De plus, en plus de "Thawte Consulting cc", il existe un certificat pour "thawte, Inc.". Pourrait-on être une parodie? Comment pourrais-je savoir?

google-chrome firefox security ssl certificate dotancohen
la source
3
C'est un problème difficile. Vous ne pouvez pas vraiment savoir lesquelles sont légitimes, et vous ne savez même pas de quoi vous avez besoin et aurez besoin à l'avenir (les fournisseurs de services sur lesquels vous comptez peuvent changer l'autorité de certification qu'ils utilisent, voir Certificate Patrol pour avoir une idée de la fréquence des Commutateurs CA). L'une des raisons pour lesquelles certains membres de la communauté de la sécurité considèrent le système CA comme fondamentalement cassé. La plupart des gens doivent normalement compter sur mozilla (ou celui qui compose votre magasin de certificats, peut être google dans votre cas) pour effectuer des tests judicieux sur les certificats pour lesquels ils reçoivent les demandes.
Jonas Schäfer
4
En fait, Certificate Patrol serait exactement ce que vous voulez (cela, plus quelques semaines d'utilisation). Cependant, il n'est pas disponible pour Google Chrome .
Jonas Schäfer
@JonasWielicki, ce n'est pas si difficile. Nous pouvons bloquer sélectivement par pays, puis en cas de problème, nous pouvons alors décider si nous souhaitons le réintégrer dans la liste. Ban d'abord, liste blanche plus tard.
Pacerier
@Pacerier Je ne pense pas que ce soit facile. Tout d'abord, si vous bloquez l'ensemble des autorités de certification basées sur Five-Eyes (ce que je ferais si je prenais cela au sérieux), vous les re-mettez immédiatement sur liste blanche. Rien n'y a gagné. Certificate Patrol a l'avantage de vous informer des changements "suspects" dans les certificats (comme les changements de certificat prématurés ou les changements de l'autorité de certification).
Jonas Schäfer

Réponses:

7

Épisode # 481 de la sécurité maintenant! le podcast aborde le sujet connexe de la transparence des certificats . La question "à qui puis-je faire confiance?" est remplacé par "quels certificats sont connus pour représenter un site donné?".

Une fois que la RFC 6962 est universellement déployée, elle nous permet de détecter que le "Hong Kong Post office CA" (alias le gouvernement chinois) a émis un certificat frauduleux sur www.gmail.com que votre navigateur avant 2015 accepterait autrement avec plaisir.

Le concept selon lequel des centaines d'autorités de certification sont autorisées à émettre des certificats vers n'importe quel site est fou.

Andreas F
la source
4
Apparemment, Firefox a un correctif qui prendrait en charge RFC 6962 depuis un an, mais il n'a pas été accepté dans le tronc.
dotancohen
1
Pourriez-vous s'il vous plaît citer explicitement un exemple imaginaire comme imaginaire ou fournir des citations?
phoeagon