Radar dei browser CA accettata, paesi e controllo delle impronte digitali

Question

Radar dei browser CA accettata, paesi e controllo delle impronte digitali

#1 da (4 voti)

4

Questa è una domanda derivata da molti altri, e non posso commentarli, quindi non è duplicata, per favore leggi:

In alcune domande correlate alcuni utenti commentano che:

"They wouldn't necessarily have to present untrusted certificates. Suborning an existing Root CA is trivial; as they are businesses like any other. Some countries like Spain, France, China, Japan, Taiwan and Turkey already have their government root ca installed on your computer. A regime could easy require all computers sold or maintained in their country to install their government's root ca."

Oltre a ciò, c'è un problema con:

"With another valid TLS leaf certificate the CA flag can be bypassed and that certificate used to sign a certificate for any site.

Chrome e Firefox sono certamente vulnerabili a questo sui sistemi senza patch (che è probabile che molti sistemi oggi). "

Quindi, 3 domande:

Dal punto 1), se vivi in quei paesi, con "spagna ... ecc.", se c'è comunque da verificare che la CA che stai usando (in firefox per esempio o altro) sia la compagnia giusta , ad esempio google / gmail? e non quello del governo?
Dal punto 2) come fai a sapere che il nostro browser / sistema non è aggiornato per quel tipo di errore?
In breve, dai punti precedenti DOVE e come dovrebbe controllare il mio fingerprint di CA da Gmail.

Ho questo:

Hocontrollato qui .

È corretto?

privacy web-browser gmail certificates certificate-authority

posta voskyc 27.07.2015 - 05:30

fonte

1 risposta

Leggi altre domande sui tag privacy web-browser gmail certificates certificate-authority

Stima dei costi di implementazione delle misure di sicurezza Sicurezza dell'archiviazione online di file simili a KeePass

score 4 · Accepted Answer

From point 1), if you live in those countries, with "spain...etc", if there anyway to check that the CA you are using (in firefox for example or other) is the proper company , for example google/gmail? and not the government one?

Puoi controllare il percorso di certificazione per scoprire quali CA intermedie e root hanno firmato il certificato che ti viene presentato dal tuo browser.

From point 2) how do you we know that we have our browser/system not patched for that kind of bug?

Generalmente solo controllando i database di vulnerabilità online come questo o fornitore bug liste per verificare se un particolare problema di sicurezza è stato identificato e corretto.

Is this correct?

Puoi controllare le impronte digitali SSL online come questo su GRC. La pagina rileva che Google e Apple non possono essere controllati in questo modo:

But companies with a massive and widely distributed web presence, such as Amazon or Google, may deploy many different security certificates across their many globally distributed servers and web sites. Multiple certificates may be easier for them to obtain and manage, and their security is not reduced. But it does mean that not every user of their servers (like you and this GRC page) would necessarily obtain the same security certificate.

This means that a simple comparison of certificate fingerprints could erroneously lead people wishing to test these huge websites to conclude that their connections were being intercepted, when they have simply received a different valid certificate than the one received and shown by this web page.

The best solution is to test smaller sites that are known to be using single certificates, or sites using the completely unspoofable extended validation (EV) certificates with an EV-honoring web browser such as Firefox or Chrome (but not Internet Explorer, which doesn't properly verify EV certificates).

_{Obbligatorio attrition link.}

Si noti che se si è stati oggetto di un attacco mirato, un Man In The Middle potrebbe modificare la pagina GRC per mostrare le impronte digitali del certificato che stava spoofing. Improbabile, ma importante includere queste informazioni qui perché è tecnicamente facilmente possibile. È possibile controllare la pagina GRC tramite TOR o tramite un'altra connessione (ad esempio tramite 3 / 4G) per verificare che la connessione principale non sia stata MITM. Questo può essere applicato anche per verificare la catena di certificati nella maggior parte dei casi, ma come notato, Google e Apple potrebbero avere CA diverse a seconda del server che la connessione ha colpito.