it-swarm-eu.dev

Opravdu potřebuji všechny tyto certifikační autority ve svém prohlížeči nebo v mé klíčence?

V mé klíčence i Firefoxu je spousta podivně vypadajících certifikačních autorit. Jsem si jist, že jsou legitimními CA (protože jsou stejné na mém počítači Mac a PC a dalších počítačích, které jsem zkontroloval). A podivně myslím, že se zdá, že jsou specifické pro stejné jiné země nebo organizace, o kterých jsem si jist, že nemám nic společného, ​​existuje způsob, jak bezpečně odstranit tyto zbytečné CA? Existuje seznam běžných uživatelů v USA nebo způsob, jak je zakázat a povolit jim, když jsou potřeba?

14
Ali

Web je celosvětový. To, že jste „uživatel v USA“, neznamená, že se budete pouze dívat na americké weby.

Můžete odebrat jakýkoli certifikát CA, kterému nechcete věřit. To je vaše výsada. Jediným důsledkem odstranění certifikátu CA je, že stroj přestane automaticky přijímat jako platný jakýkoli certifikát vydaný uvedeným CA. Překlad: Některé webové stránky HTTPS mohou začít spouštět strašidelná varování, která můžete vždy obejít, ale přesto jsou strašidelná (a školení sami obejít strašlivá varování nemusí být stejně dobrý nápad).

Pravda je, že jako uživatel máte jen velmi málo informací, na kterých byste mohli založit své rozhodnutí důvěřovat nebo nedůvěřovat žádné konkrétní CA. V ideálním případě byste věřili pouze těm CA, pro které si můžete stanovit jasnou cestu odpovědnosti: CA, která vám dá spoustu peněz v případě, že vás podvedou kvůli chybě CA. Takový CA však neexistuje. Místo toho máte seznam „výchozí CA“, který uzavřel dohodu s dodavatelem OS (Apple, v případě Mac OS), takže dodavatel OS je akceptuje jako „výchozí CA“. Tyto CA a Apple jsou z právního hlediska příliš chytré, než aby vám daly peníze v případě jakéhokoli problému (jako uživatel Mac, váš peněžní vztah s Apple spíše protéká jiným směrem) Pokud se však některý ze „výchozích CA“ začne chovat nesprávně, jedná se o veřejný obrázek Apple).

Moje rada by tedy byla nechat věci tak, jak jsou. To je to, co téměř každý dělá. Nezapomeňte, že v každém případě je certifikační autorita povinna ověřit certifikát, což znamená ne, že příslušný web spravují čestní a důvěryhodní lidé; Jedinou věcí, kterou CA zaručuje, je to, že webová stránka, na kterou se díváte, skutečně přišla z webového serveru, jehož jméno je v pruhu adresy URL.

16
Thomas Pornin

Nepotřebujete je: je to jen dědický zvyk. Podívejte se na Perspektivy projekt

2
Alexey Vesnin

Sada připojení https, se kterými se setkáte, se rozdělí na dvě nespojité podmnožiny:

  • Ti, na kterých vám záleží: finanční weby, e-mail, práce, cloudové úložiště pro vaše zálohy ... jakýkoli web, kde vás kompromitované připojení bude stát peníze, data, čas, zhoršení, kompromitace jiných webů (hlavní důvod e-mailu je na seznamu - heslo resety) atd.
  • Ti, na kterých vám to není jedno: většina míst tam, kde zabezpečení není problém, a oni mohli stejně snadno použít obyčejný http pro vše, na čem vám záleží.

Pro ty, na kterých vám záleží, můžete kliknout na ikonu visacího zámku v adresním řádku a zjistit, co certifikační autorita certifikuje toto připojení. V případě zájmu můžete dokonce kopat použité algoritmy, data certifikátů a mnoho dalších podrobností.

Pro ty, na kterých vám to nezáleží, je to jedno! Zasedání bylo uneseno? Nějaká CA ovládaná nepříjemnou vládou se s vámi hrává? No a co? Není problém se zabezpečením a na tom nezáleží.

Takže opravdu nezáleží na tom, jestli jsou tam všechny tyto CA. Když se počítá, můžete se snadno ujistit, že vaše připojení je certifikováno CA, kterému důvěřujete. Přítomnost všech těchto ostatních je irelevantní.

1
Tom Zych

Máte štěstí, pokud můžete určit, kterou certifikační autoritu byste mohli vypnout nebo zakázat. Většinou to nechat tak, jak je, je nejlepší způsob, jak se vyhnout zbytečným problémům, s nimiž se můžete v budoucnu setkat, pokud jste deaktivovali některé CA.

Pokud se obáváte jakéhokoli viru nebo podobného viru, vylepšete nebo získejte nějaký dobrý antivirus.

0
Jesse