Internet Explorer - Proprietà avanzate per certificati di radice affidabili

Question

Internet Explorer - Proprietà avanzate per certificati di radice affidabili

#1 da (3 voti)
#2 da (1 voti)

2

Se vai a IE - > Opzioni Internet - > Contenuto - > Certificati - > Autorità di certificazione radice affidabili.

Ora fai clic su alcuni certificati CA e fai clic su Avanzate

È possibile aggiungere proprietà al certificato. Per cosa è esattamente questo?

Questo significa che se un certificato non ha la proprietà 'Autenticazione server', il client può comunque autorizzarlo a tale scopo se sceglie di farlo?

Si tratta di un problema di sicurezza: ad esempio, puoi scrivere un controllo o applet ActiveX su cui, se un utente fa clic, attiva questa proprietà?

internet-explorer web-browser public-key-infrastructure certificates activex

posta user93353 23.07.2015 - 13:12

fonte

2 risposte

Leggi altre domande sui tag internet-explorer web-browser public-key-infrastructure certificates activex

Riproduce parte di un hash Domanda di test di abilità nella pagina di registrazione

score 3 · Answer 1

No. La finestra di dialogo non aggiunge queste proprietà ai certificati . Non ha nulla a che fare con l'elemento attualmente selezionato, ma semplicemente li aggiunge alla casella di riepilogo filter-by-property nella parte superiore della finestra principale. (Questo è quello che dice "Scopo previsto: < tutto >".)

(Il nome più specifico è uno "scopo certificato" e il nome tecnico è extendedKeyUsage aka EKU.)

In sostanza, se si seleziona "Autenticazione client" qui, è possibile filtrare facilmente l'elenco di certificati solo per quelli che hanno permesso l'utilizzo.

Ma

Tuttavia, puoi trovare un elenco molto simile nella finestra di dialogo delle informazioni dei singoli certificati, sotto il pulsante Visualizza. consente di rimuovere usi specifici, oppure - I pensa - aggiungendone di nuovi

Ad esempio, se hai un certificato con entrambi gli scopi "email" e "client auth", ma lo usi solo per email, puoi usarlo per evitare confusione ogni volta che il browser ti chiede di scegliere un certificato di autenticazione client.

Suppongo che questo possa essere usato per fidarsi dei certs dei server che non hanno lo scopo "server auth" - sebbene sarebbe in qualche modo incompetente per un server persino usare tale certificato ...

score 1 · Answer 2

Questa è una buona cosa che non tutte le proprietà sono controllate di default perché la fiducia non dovrebbe essere abilitata di default.

Come dice la documentazione Microsoft , lo scopo di tale proprietà è:

Certificates that server programs use to authenticate themselves to clients.

Sì, non solo il server deve fidarsi del client, ma anche il client può richiedere al server di identificarsi.

Questo è per la prima parte della tua domanda. Ora chiedi:

Can you you write an ActiveX control or Applet on which if a user clicks, it will turn on this property?

No. Ciò significa solo che richiedi un computer remoto (server in questo caso) per dimostrare la sua identità. Le applicazioni sviluppate possono essere certificate come proprie solo se le sottoscrivi da solo come quando sviluppi un'applicazione in Android e devi emettere una chiave privata per firma automaticamente le tue applicazioni senza bisogno di un'autorità di certificazione pubblica.