Creare in modo sicuro un elenco di CA affidabili

Naviga le tue risposte
5

Alcune distribuzioni del pacchetto cURL includono un'utilità mk-ca-bundle.pl che compila un ca-bundle.crt dall'archivio certificati radice di Mozilla da utilizzare come elenco di autorità attendibili. Lo script stampa in seguito agli avvisi :

  1. Using http is subject to man in the middle attack of certdata content
  2. Default to 'release', but more recent updates may be found in other trees
  3. certdata.txt file format may change, lag time to update this script
  4. Generally unwise to blindly trust CAs without manual review & verification
  5. Mozilla apps use additional security checks aren't represented in certdata
  6. Use of this script will make a security engineer grind his teeth and swear at you

Esattamente qual è la preoccupazione a cui fa riferimento il n. 4 e come posso compilare una versione aggiornata di ca-bundle.crt in modo sicuro?

    
posta gary 30.12.2015 - 01:26
fonte

1 risposta

2

La preoccupazione è che ogni CA inclusa abbia il potere organizzativo di violare la sicurezza e la userà in circostanze diverse e difficili da prevedere. Il passaggio "revisione manuale" è inteso a ricordare che è necessario disporre di alcuni processi o criteri relativi alle CA che si desidera includere.

Ciò che esattamente dovrebbe includere è soggetto al dibattito in corso da parte di esperti.

Ad esempio, il processo di revisione di Google ha causato il rilascio di un sottoinsieme di certificati Symantec. ( link ). Un altro esempio è Tor che non si fida di CyberRoam ( link ) Microsoft esternalizza essenzialmente la decisione a un gruppo chiamato CA Browser Forum.

Quindi non c'è un elenco specifico di passaggi che puoi prendere in # 4 che soddisferà il # 6.

    
risposta data 04.01.2016 - 17:18
fonte

Leggi altre domande sui tag

Come vedere i risultati del protocollo fuzzing Devo abilitare l'accesso di Google Auth per impostazione predefinita per i miei utenti?