it-swarm-eu.dev

Ho davvero bisogno di tutte queste autorità di certificazione nel mio browser o nel mio portachiavi?

Ci sono molte autorità di certificazione dall'aspetto strano nel mio portachiavi e Firefox. Sono sicuro che sono CA legittime (poiché sono le stesse sul mio Mac, PC e altri computer che ho controllato). E per strano intendo che sembrano essere specifici per gli stessi altri paesi o organizzazioni di cui sono sicuro di non avere nulla a che fare, c'è un modo per rimuovere in sicurezza queste CA non necessarie? Esiste un elenco per i normali utenti statunitensi o un modo per disabilitarli e abilitarli quando sono necessari?

14
Ali

Il Web è mondiale. Che tu sia un "utente degli Stati Uniti" non significa che guarderai solo ai siti web degli Stati Uniti.

È possibile rimuovere qualsiasi certificato CA di cui non si desidera fidarsi. Questa è la tua prerogativa. L'unica conseguenza della rimozione di un certificato CA è che la macchina cesserà di accettare automaticamente come valido qualsiasi certificato emesso da tale CA. Traduzione: alcuni siti Web HTTPS possono iniziare ad attivare avvisi spaventosi, che è sempre possibile ignorare, ma che fanno comunque paura (e allenarsi a bypassare gli avvisi spaventosi potrebbe non essere comunque una buona idea).

La verità è che, come utente, hai pochissime informazioni su cui puoi basare la tua decisione di fidarti o di non fidarti di nessuna particolare CA. Idealmente, ti fideresti solo di quelle CA per le quali puoi stabilire un chiaro percorso di responsabilità verso di te: la CA che ti darà un sacco di soldi nel caso in cui vieni truffato a causa di un errore fatto dalla CA. Tuttavia, non esiste tale CA. Invece, quello che hai è un elenco di "CA predefinite" che hanno stretto un accordo con il fornitore del sistema operativo (Apple, nel caso di Mac OS) in modo che il fornitore del sistema operativo accetti di includerle come "CA predefinita". Questi CA e Apple sono troppo intelligenti, legalmente parlando, per darti soldi in caso di problemi (come utente Mac, la tua relazione monetaria con Apple piuttosto scorre nell'altra direzione) Tuttavia, se una delle "CA predefinite" inizia a comportarsi in modo improprio, è Apple che è in gioco.

Quindi il mio consiglio sarebbe di lasciare le cose come sono. Questo è ciò che fanno quasi tutti. Ricorda che, in ogni caso, il punto della CA è convalidare il certificato, che non significa non che il sito corrispondente è gestito da onesto e affidabile persone; l'unica cosa che la CA garantisce è che la pagina Web che stai guardando proviene davvero dal sito Web il cui nome è nella barra degli URL.

16
Thomas Pornin

Non è necessario: è solo un habbit ereditario. Dai un'occhiata a Project Perspectives

2
Alexey Vesnin

L'insieme di connessioni https che incontrerai si suddivide in due sottoinsiemi disgiunti:

  • Quelli che ti interessano: siti finanziari, e-mail, lavoro, archiviazione cloud per i tuoi backup ... qualsiasi sito in cui una connessione compromessa ti costerà denaro, dati, tempo, aggravamento, compromissione di altri siti (il motivo principale per cui l'e-mail è nell'elenco - password ripristini), ecc.
  • Quelli che non ti interessano: la maggior parte dei siti là fuori, dove la sicurezza non è un problema e potrebbero altrettanto facilmente utilizzare http semplice per tutto ciò che ti interessa.

Per coloro a cui tieni, puoi fare clic sull'icona del lucchetto nella barra degli indirizzi e vedere quale CA sta certificando questa connessione. Puoi anche scavare negli algoritmi utilizzati, nelle date dei certificati e in molti altri dettagli, se sei interessato.

Per quelli che non ti interessano, beh, non ti importa! La sessione è stata dirottata? Qualche CA controllata da un governo spiacevole ti sta prendendo in giro? E allora? Non ci sono problemi di sicurezza e non importa.

Quindi non importa davvero se ci sono tutte quelle AC. Quando conta, puoi facilmente assicurarti che la tua connessione sia certificata da una CA di cui ti fidi. La presenza di tutti gli altri è irrilevante.

1
Tom Zych

Sei fortunato se riesci a identificare quale CA potresti disattivare o disabilitare. Per lo più lasciarlo così com'è, è il modo migliore per evitare problemi inutili per i quali potresti incontrare in futuro se disabilitassi qualche CA.

Se sei preoccupato per eventuali virus o simili, migliora o ottieni un buon antivirus.

0
Jesse