Wie erfahre ich, welche Zertifikate ich in meinem Browser belassen und welche ich entfernen soll?

12

Ich möchte die Sicherheit etwas verschärfen, daher deaktiviere ich nicht benötigte Zertifikate in meinen Browsern. Zum Beispiel das "WoSign CA Limited" -Zertifikat aus China, das ich offensichtlich nicht benötige, aber "Thawte Consulting cc".

Gibt es eine Möglichkeit, festzustellen, welche Zertifikate ich tatsächlich verwendet habe , damit ich fundierte Entscheidungen treffen kann? Nehmen Sie zum Beispiel "Trustis Limited". Auf welcher Grundlage würde ich beschließen, es zu behalten oder zu verlassen. Zusätzlich zu "Thawte Consulting cc" gibt es ein Zertifikat für "thawte, Inc.". Könnte man eine Parodie sein? Woher soll ich das wissen?

dotancohen
quelle
3
Das ist ein schweres Problem. Sie können nicht wirklich wissen, welche legitim sind, und Sie wissen nicht einmal, welche Sie benötigen und welche Sie in Zukunft benötigen werden CA-Schalter). Einer der Gründe, warum einige Leute in der Sicherheitsgemeinschaft das CA-System für grundlegend kaputt halten. Die meisten Menschen müssen sich normalerweise auf Mozilla verlassen (oder wer auch immer Ihren Zertifikatsspeicher erstellt, kann in Ihrem Fall Google sein), um vernünftige Tests für die Zertifikate durchzuführen, für die sie Anträge erhalten.
Jonas Schäfer
4
Tatsächlich ist Certificate Patrol genau das, was Sie möchten (plus ein paar Wochen Nutzungsdauer). Allerdings ist es nicht für Google Chrome verfügbar .
Jonas Schäfer
@ JonasWielicki, es ist nicht so schwer. Wir können selektiv nach Ländern blockieren, dann , wenn es ein Problem gibt, können wir dann entscheiden , ob wir es wünschen würde wieder in die Liste aufzunehmen. Ban zuerst, White-List später.
Pacerier
@ Pacerier Ich denke nicht, dass das einfach ist. Wenn Sie die gesamten Five-Eyes-basierten Zertifizierungsstellen blockieren (was ich tun würde, wenn ich das ernst nehme), würden Sie sie sofort wieder auf die Whitelist setzen. Nichts hat dort gewonnen. Certificate Patrol hat den ordentlichen Vorteil, dass Sie über "verdächtige" Änderungen an den Zertifikaten (wie vorzeitige Zertifikatänderungen oder Änderungen der Zertifizierungsstelle) informiert werden.
Jonas Schäfer

Antworten:

7

Folge # 481 der Security Now! Der Podcast geht auf das verwandte Thema Zertifikatstransparenz ein . Die Frage "Welchen Zertifizierungsstellen kann ich vertrauen?" wird durch "Welche Zertifikate repräsentieren einen bestimmten Standort?" ersetzt.

Sobald RFC 6962 universell implementiert ist, können wir feststellen, dass die "Hong Kong Post Office CA" (auch bekannt als die chinesische Regierung) ein betrügerisches Zertifikat an www.gmail.com ausgestellt hat, das Ihr Browser vor 2015 ansonsten gerne akzeptieren würde.

Das Konzept, dass Hunderte von Zertifizierungsstellen Zertifikate für jede Site ausstellen, ist verrückt.

Andreas F
quelle
4
Anscheinend gibt es in Firefox seit einem Jahr einen Patch , der RFC 6962 unterstützt, der jedoch nicht in trunk aufgenommen wurde.
Dotancohen
1
Könnten Sie bitte ein imaginäres Beispiel explizit als imaginär bezeichnen oder Zitate bereitstellen?
Phoeagon