Come fidarsi di CA principale

6

Quando scarico un browser come Mozilla, viene fornito in bundle con diversi certificati di root.

Come confido che questi certificati siano legittimi? Come faccio a sapere che il mio download non contiene alcuni falsi certificati root?

So che il software stesso passerà attraverso un controllo di integrità durante il download (che esclude qualsiasi manomissione), tuttavia il controllo di integrità si basa sul browser esistente che si fida del browser utilizzato per scaricare Mozilla su HTTPS. Fondamentalmente il download di Mozilla si basa su qualche altro certificato di root richiesto da qualche parte durante il processo di download. Sembra essere un problema ricorsivo.

Quindi la mia domanda è: come posso fidarmi del certificato di root incorporato nel mio browser?

    
posta Minaj 23.07.2016 - 02:04
fonte

2 risposte

2

In primo luogo, hai ragione, è un problema ricorsivo. SSL è una specie di castello di carte perché devi sempre fidarti di qualcosa, compresi quelli che ti dicono di chi fidarsi. Un numero di esperti ha previsto il crollo di SSL:

Crollo della sicurezza nel mercato HTTPS

Crittografia SSL / TLS e scam lotto libero: troppo grande per fallire

In che modo SSL si rompe irrimediabilmente? Cerchiamo di contare i modi

SSL e il futuro dell'autenticità

Detto questo, è tutto ciò che abbiamo per ora, quindi il panico non aiuterà.

Se temi che il programma appena scaricato abbia installato anche certificati root dannosi, sono disponibili degli scanner per controllarli, ad esempio questo e questo (Nota: non posso raccomandare nessuno di questi perché non li ho provati, quindi fate la vostra ricerca).

Oppure, se desideri scansionarli manualmente, elenco abbastanza buono è gestito da Microsoft Programma certificati di root sicuri .

    
risposta data 23.07.2016 - 02:37
fonte
-2

Tutti i pacchetti di installazione del sistema operativo sono firmati. In Windows, ad esempio, quando si scarica Firefox Stub Installer, è possibile controllarne le proprietà facendo clic con il pulsante destro del mouse sul file exe e andando alla scheda "Firma":

Quindi,faiclicsu"Dettagli" per vedere di più, vedrai "Informazioni firmatario" e qualsiasi cosa sia "OK", che viene controllata con i certificati integrati di Windows.

Infinecontrollailcertificatodirootdell'interacatenafacendoilgoogledelcodiceradiceThumbprint:

Quindiinsintesi:

  1. Controllaseilnomedelfirmatarioè"Mozilla Corporation"
  2. Verifica se la firma digitale è "OK"
  3. Controlla se il certificato di root è OK

Sembra che il cert della radice binaria di Firefox nella catena sia questo: link - c'è l'identificazione personale corrispondente "05: 63: B8: 63: 0D: 62: D7: 5A: BB: C8: AB: 1E: 4B: DF: B5: A8: 99: B2: 4D: 43"

.

Allo stesso modo puoi controllare tutti i certificati di root se hai dei dubbi.

    
risposta data 23.07.2016 - 03:01
fonte

Leggi altre domande sui tag