Internet Explorer gestisce correttamente la convalida estesa

Question

Internet Explorer gestisce correttamente la convalida estesa

#1 da (3 voti)

2

Sto leggendo i certificati Extended Validation (EV) e ho alcune domande. Da quanto ho capito, EV consente ai proprietari di domini di pagare un extra per un certificato particolarmente affidabile (che il browser onora con speciali proprietà di visualizzazione) e richiede alle CA di compiere ulteriori passaggi per verificare che i certificati emessi siano validi. La documentazione Microsoft dice che gli amministratori di dominio possono aggiungere certificati a Internet Explorer che vorrebbero vedere come EV (utile per applicazioni interne). La mia domanda è, se possono manipolare l'elenco EV in Internet Explorer, cosa impedisce al mio amministratore di dominio di fare la stessa cosa di Questi ragazzi e acquistano un certificato radice subordinato per un sito esterno e lo aggiungono al mio browser IE come certificato EV?

Seconda domanda: in Firefox, ad esempio, l'elenco dei certificati con lo stato EV è "incorporato" nel browser. Se eseguo una versione personalizzata di Firefox, posso modificare questo elenco incorporato?

internet-explorer web-browser certificates

posta San Jacinto 20.11.2013 - 22:50

fonte

1 risposta

Leggi altre domande sui tag internet-explorer web-browser certificates

TLS 1.2 Certificato del server e signature_algorithms Posso usare il browser tor per rendermi anonimo? [duplicare]

score 3 · Answer 1

Questo è semplice: in un ambiente di dominio Windows, gli amministratori di dominio hanno la capacità di fare TUTTO ciò che vogliono con la tua macchina. In un certo senso, la tua macchina è più la loro macchina che la tua.

Ciò include, ovviamente, la manipolazione dell'archivio certificati per aggiungere (o negare) qualsiasi tipo di relazione di fiducia che desiderano.

Cioè, per usare il solito giro di frase, una funzionalità e non un bug.

Ora, la vera domanda è, naturalmente, "come posso proteggermi dall'amministratore violento?" (o forse "chi guarda gli osservatori?"). È difficile rispondere a questa domanda (chiedi alla NSA a riguardo).

Il modo più semplice è semplicemente di non permettere a nessuno di cui non ti puoi fidare con la password dell'amministratore del dominio. Nei piccoli negozi, ciò potrebbe significare che solo il proprietario del dominio conosce la password dell'amministratore del dominio. È inoltre tipicamente controllato da contratti e regole interne che indicano chi è autorizzato a fare cosa, come e sotto quale tipo di supervisione.

In ogni caso, è un problema che non dovrebbe essere affrontato con mezzi tecnologici, almeno finché non sei sicuro al 100% che ne hai bisogno perché i modi per migliorare la situazione attraverso la limitazione tecnica sono ingombranti, costosi e lontani dall'essere Efficiente al 100%.