Come posso verificare che un certificato di origine sia autentico?

Naviga le tue risposte
8

Ho trovato che il mio PC di casa (Windows 10) ha attualmente 39 certificati di root installati.

Durante lo scorrimento della lista che ho notato:

  1. Nomi che sembrano familiari (ad esempio Thawte / VeriSign)
  2. Nomi che non mi sono familiari (ad es. Startcom / Entrust)
  3. Date di scadenza future (ad esempio 2020-12-31 / 2030-01-01)
  4. Date di scadenza in passato (ad esempio 1999-12-31 / 2004-01-08)

Tutto questo è un po 'preoccupante e vorrei fare di più per controllare la situazione. Per cominciare vorrei confermare la loro legittimità.

Come posso verificare che un certificato di origine sia autentico?

    
posta Kelly Thomas 11.11.2015 - 15:37
fonte

2 risposte

3

Questo è spesso normale a causa di come i sistemi operativi pubblicano certificati radice. Probabilmente vedrai la sovrapposizione tra un certificato radice di una CA che scade ed è "coperto" da un nuovo certificato dalla stessa CA. Tuttavia, fa bene a non fidarti ciecamente.

La maggior parte delle autorità pubbliche di certificazione pubblica informazioni sulle impronte digitali sui loro certificati di origine. È possibile rintracciare questi dati dalla CA alla CA e verificare che il certificato che si trova nell'archivio delle credenziali di root corrisponda alle impronte digitali che pubblicano. Ad esempio, Thawte pubblica su link .

Ogni CA avrà una politica diversa su come pubblicano queste informazioni, ma dovrebbe essere facile da individuare e verificare con i propri occhi.

    
risposta data 11.11.2015 - 16:33
fonte
4

How can I verify that a root certificate is authentic?

L'autenticità può essere verificata se si cerca l'impronta digitale online e si trova il certificato dove ci si aspetterebbe. Ma questo non è infallibile perché potrebbe trattarsi di un sito fasullo che ha un bell'aspetto e un nome host affidabile. In ogni caso non conosci la festa personalmente e l'autenticità non significa che la festa possa essere considerata di fiducia.

Alla fine devi fidarti del fornitore del tuo sistema operativo o del browser che sta facendo la cosa giusta, perché in effetti non hai modo di verificarlo realmente. Ma questo tipo di fiducia non è raro, cioè ti fidi del tuo supermercato che il cibo è commestibile e non è scaduto o addirittura avvelenato, ti fidi della tua stazione di servizio che la benzina non è pericolosa per la tua auto ... problemi di sicurezza. E tu speri che se questa fiducia non è più giustificata ti verrà in qualche modo notificato.

La fiducia può andare storta come si può vedere nella vicenda Superfish in cui ci si fidava del fornitore (Lenovo) di spedire un computer affidabile Ma questo computer conteneva un software per inietti gli annunci e inoltre il software installava il proprio certificato di base sulle connessioni man-in-the-middle per iniettare anche gli annunci nel traffico https. Questo certificato era assolutamente autentico, ma la maggior parte delle persone non lo considererebbe affidabile.

    
risposta data 11.11.2015 - 16:34
fonte

Leggi altre domande sui tag

Posso crittografare con GnuPG e decifrare con OpenSSL? Rapporti Kitkat Android: "La rete può essere monitorata da una terza parte sconosciuta" quando si utilizza una CA radice non predefinita