Ich möchte die Sicherheit etwas verschärfen, daher deaktiviere ich nicht benötigte Zertifikate in meinen Browsern. Zum Beispiel das "WoSign CA Limited" -Zertifikat aus China, das ich offensichtlich nicht benötige, aber "Thawte Consulting cc".
Gibt es eine Möglichkeit, festzustellen, welche Zertifikate ich tatsächlich verwendet habe , damit ich fundierte Entscheidungen treffen kann? Nehmen Sie zum Beispiel "Trustis Limited". Auf welcher Grundlage würde ich beschließen, es zu behalten oder zu verlassen. Zusätzlich zu "Thawte Consulting cc" gibt es ein Zertifikat für "thawte, Inc.". Könnte man eine Parodie sein? Woher soll ich das wissen?
google-chrome
firefox
security
ssl
certificate
dotancohen
quelle
quelle
Antworten:
Folge # 481 der Security Now! Der Podcast geht auf das verwandte Thema Zertifikatstransparenz ein . Die Frage "Welchen Zertifizierungsstellen kann ich vertrauen?" wird durch "Welche Zertifikate repräsentieren einen bestimmten Standort?" ersetzt.
Sobald RFC 6962 universell implementiert ist, können wir feststellen, dass die "Hong Kong Post Office CA" (auch bekannt als die chinesische Regierung) ein betrügerisches Zertifikat an www.gmail.com ausgestellt hat, das Ihr Browser vor 2015 ansonsten gerne akzeptieren würde.
Das Konzept, dass Hunderte von Zertifizierungsstellen Zertifikate für jede Site ausstellen, ist verrückt.
quelle