it-swarm-eu.dev

Benötige ich wirklich alle diese Zertifizierungsstellen in meinem Browser oder in meinem Schlüsselbund?

Es gibt viele seltsam aussehende Zertifizierungsstellen in meinem Schlüsselbund sowie in Firefox. Ich bin sicher, dass es sich um legitime Zertifizierungsstellen handelt (da sie auf meinem Mac und PC sowie auf anderen von mir überprüften Computern identisch sind). Und mit seltsam meine ich, dass sie spezifisch für dieselben anderen Länder oder Organisationen zu sein scheinen, mit denen ich sicher nichts zu tun habe. Gibt es eine Möglichkeit, diese unnötigen Zertifizierungsstellen sicher zu entfernen? Gibt es eine Liste für reguläre US-Benutzer oder eine Möglichkeit, sie zu deaktivieren und zu aktivieren, wenn sie benötigt werden?

14
Ali

Das Web ist weltweit. Dass Sie ein "US-Benutzer" sind, bedeutet nicht, dass Sie nur US-Websites besuchen.

Sie können jedes CA-Zertifikat entfernen, dem Sie nicht vertrauen möchten. Das ist dein Vorrecht. Die einzige Konsequenz des Entfernens eines CA-Zertifikats besteht darin, dass der Computer alle von dieser CA ausgestellten Zertifikate nicht mehr automatisch als gültig akzeptiert. Übersetzung: Einige HTTPS-Websites lösen möglicherweise beängstigende Warnungen aus, die Sie immer umgehen können, die aber dennoch beängstigend sind (und es ist möglicherweise sowieso keine gute Idee, sich darin zu schulen, beängstigende Warnungen zu umgehen).

Die Wahrheit ist, dass Sie als Benutzer nur sehr wenige Informationen haben, auf die Sie Ihre Entscheidung stützen können, einer bestimmten Zertifizierungsstelle zu vertrauen oder nicht zu vertrauen. Im Idealfall würden Sie nur denjenigen Zertifizierungsstellen vertrauen, für die Sie einen klaren Verantwortungspfad zu Ihnen festlegen können: der Zertifizierungsstelle, die Ihnen viel Geld gibt, falls Sie aufgrund eines Fehlers der Zertifizierungsstelle betrogen werden. Es gibt jedoch keine solche Zertifizierungsstelle. Stattdessen haben Sie eine Liste der "Standard-Zertifizierungsstellen", die einen Vertrag mit dem Betriebssystemhersteller (Apple im Fall von Mac OS) abgeschlossen haben, sodass der Betriebssystemanbieter akzeptiert, diese als "Standardzertifizierungsstelle" aufzunehmen. Diese Zertifizierungsstellen und Apple sind rechtlich gesehen viel zu intelligent, um Ihnen im Falle eines Problems Geld zu geben (als Mac-Benutzer fließt Ihre Geldbeziehung mit Apple fließt eher in die andere Richtung) Wenn sich jedoch eine der "Standard-Zertifizierungsstellen" nicht mehr richtig verhält, ist dies Apple öffentliches Image, um das es geht.

Mein Rat wäre also, die Dinge so zu lassen, wie sie sind. Das macht fast jeder. Denken Sie daran, dass es in jedem Fall der Zweck der Zertifizierungsstelle ist, das Zertifikat zu validieren. Dies bedeutet nicht, dass die entsprechende Site von ehrlichen und vertrauenswürdigen Personen gepflegt wird. Das einzige, was die Zertifizierungsstelle garantiert, ist, dass die von Ihnen betrachtete Webseite tatsächlich von der Website stammt, deren Name in der URL-Leiste steht.

16
Thomas Pornin

Sie brauchen sie nicht: Es ist nur ein altes Habbit. Schauen Sie sich Projektperspektiven an

2
Alexey Vesnin

Die Menge der https-Verbindungen, auf die Sie stoßen, gliedert sich in zwei disjunkte Teilmengen:

  • Diejenigen, die Sie interessieren: Finanzseiten, E-Mail, Arbeit, Cloud-Speicher für Ihre Backups ... jede Seite, bei der eine gefährdete Verbindung Sie Geld, Daten, Zeit, Ärger und Kompromisse bei anderen Websites kostet (der Hauptgrund, warum E-Mails auf der Liste stehen - Passwort Zurücksetzen) usw.
  • Diejenigen, die Sie nicht interessieren: Die meisten Websites da draußen, auf denen Sicherheit kein Problem darstellt, und sie könnten genauso einfach einfaches http für alles verwenden, was Sie interessiert.

Für diejenigen, die Sie interessieren, können Sie auf das Vorhängeschlosssymbol in der Adressleiste klicken und sehen, welche Zertifizierungsstelle diese Verbindung zertifiziert. Wenn Sie interessiert sind, können Sie sich sogar mit den verwendeten Algorithmen, den Daten der Zertifikate und vielen anderen Details befassen.

Für diejenigen, die Sie nicht interessieren, ist es Ihnen egal! Sitzung wurde entführt? Eine CA, die von einer unangenehmen Regierung kontrolliert wird, spielt mit Ihnen? Na und? Es gibt kein Sicherheitsproblem und es spielt keine Rolle.

Es spielt also keine Rolle, ob all diese Zertifizierungsstellen vorhanden sind. Wenn es darauf ankommt, können Sie problemlos sicherstellen, dass Ihre Verbindung von einer vertrauenswürdigen Zertifizierungsstelle zertifiziert wurde. Die Anwesenheit all dieser anderen ist irrelevant.

1
Tom Zych

Sie haben Glück, wenn Sie feststellen können, welche Zertifizierungsstelle Sie deaktivieren oder deaktivieren können. Wenn Sie es meistens so lassen, wie es ist, können Sie unnötige Probleme vermeiden, auf die Sie in Zukunft stoßen könnten, wenn Sie eine Zertifizierungsstelle deaktivieren.

Wenn Sie sich Sorgen um Viren oder ähnliches machen, verbessern Sie oder erhalten Sie ein gutes Antivirenprogramm.

0
Jesse