Welchen vertrauenswürdigen Stammzertifizierungsstellen sollte ich vertrauen?

Nach zwei kürzlich erschienenen Slashdot-Artikeln ( Nr. 1 Nr. 2 ) über fragwürdige Stammzertifikate, die auf Computern installiert sind, habe ich mich entschlossen, mir genauer anzusehen, was ich auf meinen Computern installiert habe.
(Ich verwende aktuelle Versionen von Chrome unter Win7, die meines Wissens die Windows-Liste der Zertifizierungsstellen verwenden.)

Was ich gefunden habe, hat mich wirklich überrascht.

• Zwei relativ saubere Maschinen hatten sehr unterschiedliche Listen von Zertifizierungsstellen.
• Jeder hatte eine Reihe von Zertifizierungsstellen, die 1999 und 2004 abgelaufen waren!
• Die Identität vieler Zertifizierungsstellen ist nicht leicht zu verstehen.

Ich habe auch gesehen, dass viele Zertifikate 2037, kurz vor dem UNIX-Rollover, ablaufen, vermutlich um derzeit unbekannte Fehler vom Typ Y2K38 zu vermeiden. Aber andere Zertifikate sind viel länger gut.

Ich habe mich umgesehen, konnte aber überraschenderweise keine kanonische Liste finden, deren Zertifizierungsstellen allgemein akzeptiert werden.

• Wenn ich ein MITM-Rogue-Zertifikat auf meinem Computer hätte, wie würde ich das überhaupt wissen?
• Gibt es eine Liste "akzeptierter" Zertifikate?
• Kann ich die abgelaufenen Zertifizierungsstellen sicher entfernen?
• Kann ich wissen, ob / wann ich jemals eine Zertifizierungsstelle für HTTPS verwendet habe?

Wenn ich ein MITM-Rogue-Zertifikat auf meinem Computer hätte, wie würde ich das überhaupt wissen?

Das würdest du oft nicht. In der Tat ist dies häufig die Art und Weise, wie SysAdmins die HTTPS-Sitzungen von Mitarbeitern überwacht: Sie senden leise ein vertrauenswürdiges Zertifikat an alle Desktops, und dieses vertrauenswürdige Zertifikat ermöglicht einen Zwischenproxy für MITM-Scan-Inhalte, ohne die Endbenutzer zu benachrichtigen. (Suchen Sie nach "CA für https-Proxy-Gruppenrichtlinie herausschieben" - es sind keine Links mit meinem schlechten Ruf mehr vorhanden!)

Gibt es eine Liste "akzeptierter" Zertifikate?

Es gibt einige, im Allgemeinen die Standardliste von Zertifikaten für Standard-Betriebssysteminstallationen. Es gibt jedoch AUCH fest codierte Listen von Zertifizierungsstellen in bestimmten Browsern (z. B. http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ), um die erweiterte Validierung ("grüne Balken") zu unterstützen. EV-Listen variieren jedoch auch (z. B. http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm ).

Kann ich die abgelaufenen Zertifizierungsstellen sicher entfernen?

Im Allgemeinen ja ... wenn Sie nur auf Websites surfen. Bei bestimmten Signaturanwendungen können jedoch andere Probleme auftreten.

Kann ich wissen, ob / wann ich jemals eine Zertifizierungsstelle für HTTPS verwendet habe?

Hmmmm ... klingt wie eine App, die geschrieben werden muss. ;)