Ho davvero bisogno di tutte queste autorità di certificazione nel mio browser o nel mio portachiavi?

14

Ci sono molte autorità di certificazione dall'aspetto strano nel mio portachiavi e Firefox. Sono sicuro che sono CA legittime (dato che sono uguali su Mac, PC e altri computer che ho controllato). E per strano intendo che sembrano essere specifici per gli stessi altri paesi o organizzazioni che sono sicuro di non avere nulla a che fare con, c'è un modo per rimuovere in modo sicuro queste CA non necessarie? C'è un elenco per gli utenti regolari degli Stati Uniti o un modo per disabilitarli e abilitarli quando sono necessari?

    
posta Ali 13.09.2011 - 01:49
fonte

4 risposte

16

Il Web è in tutto il mondo. Che tu sia un "utente americano" non significa che guardi solo i siti web degli Stati Uniti.

È possibile rimuovere qualsiasi certificato CA di cui non si desidera dare fiducia. Questa è la tua prerogativa. L'unica conseguenza della rimozione di un certificato CA è che la macchina smetterà automaticamente di accettare come valido qualsiasi certificato emesso dalla suddetta CA. Traduzione: alcuni siti Web HTTPS potrebbero iniziare a generare avvertimenti spaventosi, che puoi sempre ignorare, ma che comunque sono spaventosi (e allenarti a bypassare avvisi spaventosi potrebbe non essere comunque una buona idea).

La verità è che, come utente, hai pochissime informazioni su cui potresti basare la tua decisione di fidarti o non fidarti di una particolare CA. Idealmente, ti fidi solo di CA per la quale puoi stabilire un chiaro percorso di responsabilità verso te: la CA che ti darà un sacco di soldi nel caso in cui venissi truffato a causa di un errore commesso dalla CA. Tuttavia, non esiste tale CA. Invece, quello che hai è un elenco di "CA predefinito" che ha stretto un accordo con il fornitore del sistema operativo (Apple, nel caso di Mac OS) in modo che il fornitore del sistema operativo accetti di includerli come "CA predefinita". Queste CA e Apple sono troppo intelligenti, legalmente parlando, per darti soldi in caso di problemi (come utente Mac, la tua relazione di denaro con Apple scorre piuttosto nella direzione opposta). Tuttavia, se una delle "CA predefinite" inizia a comportarsi in modo improprio, questa è l'immagine pubblica di Apple che è in gioco.

Quindi il mio consiglio sarebbe di lasciare le cose come sono. Questo è quello che quasi tutti fanno. Ricorda che, in ogni caso, il punto della CA è quello di convalidare il certificato, il che significa che non significa che il sito corrispondente è gestito da persone oneste e affidabili; l'unica cosa che la CA garantisce è che la pagina Web che stai guardando proviene davvero dal sito Web il cui nome è nella barra degli URL.

    
risposta data 13.09.2011 - 02:31
fonte
2

Non li richiedi: è solo un'eredità legacy. Dai un'occhiata a Prospettive del progetto

    
risposta data 14.02.2016 - 03:24
fonte
1

Il set di connessioni https che incontrerai si scompone in due sottoinsiemi disgiunti:

  • Quelle che ti interessano: siti finanziari, email, lavoro, cloud storage per i tuoi backup ... qualsiasi sito in cui una connessione compromessa ti costerà denaro, dati, tempo, aggravamento, compromissione di altri siti (il motivo principale per cui l'email è sul lista - reset della password), ecc.
  • Coloro a cui non tieni a cuore: la maggior parte dei siti là fuori, dove la sicurezza non è un problema e potrebbero altrettanto facilmente utilizzare il semplice http per tutto ciò che ti interessa.

Per coloro a cui tieni, puoi fare clic sull'icona del lucchetto nella barra degli indirizzi e vedere cosa CA sta certificando questa connessione. Puoi anche approfondire gli algoritmi utilizzati, le date dei certificati e molti altri dettagli, se sei interessato.

Per quelli a cui non ti importa, bene, non ti interessa! La sessione è stata dirottata? Alcuni CA controllati da un governo sgradevole ti stanno prendendo in giro? E allora? Non c'è alcun problema di sicurezza e non ha importanza.

Quindi non importa se tutte quelle CA ci sono. Quando conta, puoi facilmente assicurarti che la tua connessione sia certificata da una CA di cui ti fidi. La presenza di tutti gli altri è irrilevante.

    
risposta data 14.02.2016 - 01:47
fonte
0

Sei fortunato se riesci a identificare quale CA potresti disattivare o disattivare. Lasciarlo per lo più così com'è, è il modo migliore per evitare problemi inutili che potrebbero verificarsi in futuro se disabilitassi un CA.

Se sei preoccupato per qualsiasi virus o simili, migliora o ottieni qualche buon antivirus.

    
risposta data 24.12.2015 - 15:49
fonte

Leggi altre domande sui tag