Esiste un sito Web o un'altra risorsa che elenca i sistemi operativi / piattaforme e i certificati radice inclusi?

2

Ho bisogno di scegliere un'autorità di certificazione (CA), per ottenere un certificato, ma ho notato che ci sono molti di questi presenti solo in alcuni sistemi operativi / piattaforme come Windows. Ho bisogno di sceglierne uno che sia presente anche in Linux (più distribuzioni sono le migliori) e mac.

Esiste un elenco / un programma di questo tipo?

    
posta nsn 19.06.2014 - 12:03
fonte

2 risposte

2

Su Windows, le CA sono normalmente centralizzate nel sistema operativo, nell'archivio "CA attendibile". Microsoft gestisce i contenuti predefiniti per questo negozio e lo fanno seguendo un "programma di gestione" esplicito. È possibile trovare l'elenco di CA ci .

Apple gestisce anche un programma simile e documenta elenco di CA root che un OS X nuovissimo si fiderà di default. Ovviamente, qualsiasi utente è libero di modificare l'elenco, anche se la maggior parte degli utenti manterrà le impostazioni predefinite.

Tuttavia, qualsiasi browser è libero di utilizzare l'elenco del SO o di usarne uno proprio. Su Windows, Chrome e IE seguiranno l'elenco fornito dal sistema operativo; su OS X, Safari e Chrome seguiranno anche l'elenco fornito dal sistema operativo. Firefox, d'altra parte, ha una sua lista (e, in effetti, la sua implementazione SSL). L'elenco di CA radice incluso per impostazione predefinita in Firefox è disponibile in questa pagina . Tale elenco si applica a tutte le piattaforme su cui viene eseguito Firefox.

Su Linux, non esiste un vero elenco di certificati attendibili forniti dal sistema operativo (beh, ci sono sono certificati CA radice in /etc/ssl/certs/ , ma non è chiaro se siano effettivamente "fidati", o semplicemente "conosciuto", o quali applicazioni utilizzano queste CA). In ogni caso, Firefox su Linux continua a seguire la sua lista interna; Chromium (su Linux) è documentato su usa l'elenco di Firefox (in particolare, per usare lo stesso elenco predefinito come Firefox, le modifiche locali a Firefox non hanno alcun impatto su Chromium, né viceversa).

Sembra che il browser Web Opera ora utilizzi l'elenco di Firefox (si basa sulla libreria NSS che gestisce SSL per Firefox), quindi dovrebbe essere considerato simile a Firefox (a tale riguardo) su tutte le piattaforme.

Quindi, per una buona interoperabilità, dovresti scegliere una CA che si trova negli elenchi di Microsoft, Apple e Mozilla / Firefox. Una CA radice elencata su tutti e tre gli elenchi verrà riconosciuta automaticamente dalla stragrande maggioranza degli utenti.

Non sono a conoscenza di alcuna pagina gestita da nessuna parte che aggregerebbe queste liste separate in una vista sintetica. La parola operativa qui è "mantenuta".

Un'ulteriore complicazione è che esistono due tipi di CA root: la CA "normale" e la CA "EV-Qualified". Questi ultimi sostengono di essere più accurati nella loro verifica dell'identità; le conseguenze pratiche sono che i loro certificati sono più costosi e l'icona del lucchetto sarà verde (o similmente "evidenziata") anziché grigia. Questa distinzione ha attratto alcune critiche; per esempio. Peter Gutmann afferma che i certificati EV sono un trucco per aumentare i prezzi dei certificati con pochi vantaggi in termini di sicurezza dal momento che non risolvere un problema di sicurezza che esisteva veramente in primo luogo. Eppure esistono. Se si desidera il lucchetto verde, è necessaria una CA radice riconosciuta come "qualificata EV" dai principali browser. Puoi iniziare dall'elenco dalla pagina di Wikipedia .

    
risposta data 19.06.2014 - 15:07
fonte
0

Vedo dal tag che citi Java. La tecnologia che usi fa una grande differenza in ciò che i negozi di certificati entrano in discussione. Come dice Thomas, è un gioco di palla completamente diverso per i browser web.

Se ti stai concentrando sulla distribuzione Sun / Oracle Java, dovresti ottenere lo stesso file cabundle. Detto questo dovresti essere in grado di sceglierne uno fuori da quella lista.

    
risposta data 19.06.2014 - 15:23
fonte

Leggi altre domande sui tag