Per fidarsi o non fidarsi? Aggiunta di eccezioni all'elenco dei certificati attendibili in (firefox) Light

Question

Per fidarsi o non fidarsi? Aggiunta di eccezioni all'elenco dei certificati attendibili in (firefox) Light

#1 da (1 voti)
#2 da (0 voti)

2

Recentemente ho installato il Light (un forking più compatto di Firefox).

Ho iniziato a ricevere l'errore "This Connection is Untrusted", che mi ha fatto riflettere: quando dovrei aggiungere un'eccezione all'elenco dei certificati attendibili? Sì, questo ha il problema della fiducia, e questo è un enorme problema in sé. Supponiamo però che mi sentissi a mio agio nel confidare ai certificati forniti in bundle nel mio browser (che si tratti di Firefox, Light o IE)

Nel mio caso, l'errore è (codice di errore: sec_error_unknown_issuer). Deve essere che Light non ha l'elenco completo delle autorità attendibili che fa tutto il Firefox.

Posso vedere il certificato in questione e posso vedere il nome dell'emittente del certificato (nel mio caso, Starfield Secure Certificate Authority - G2). E sì, se vado al grande elenco di Firefox di certificati attendibili , posso vedere nomi simili lì (Autorità di certificazione dei root di Starfield Services - G2 e Autorità di certificazione dei root di Starfield - G2), sebbene non sia una corrispondenza esatta.

Ma immagino che non sia abbastanza: non è una corrispondenza esatta. Ma andiamo oltre: supponiamo che il nome dell'emittente sia perfetto. Presumibilmente, se un sito Web tenta di rubare le mie informazioni o esegue codice dannoso nel mio browser, sarà abbastanza intelligente da falsificare il nome di un fornitore di certificati attendibile. Di cosa si tratta nel certificato stesso che devo verificare per assicurarmi che il certificato che mi viene presentato sia autentico e che non ci sia qualche bozo da qualche parte che falsi un certificato attendibile? E c'è un modo per ottenere quel certificato autentico dalla bocca del cavallo, per così dire, invece che dalla pagina web che sto cercando di sfogliare?

user-education certificates

posta ltcomdata 14.11.2014 - 02:57

fonte

2 risposte

Leggi altre domande sui tag user-education certificates

Perché l'autenticazione popolare a due fattori utilizza chiavi condivise Cosa sta tentando di compiere questo attaccante?

score 1 · Answer 1

La domanda è, presumendo che tu abbia deciso su quali CA (autorità di certificazione) confidare, in che modo ottieni i loro certificati. Se ti fidi di "Autorità di certificazione dei servizi Starfield Services - G2" e vuoi sapere se dovresti fidarti dell'ipotetica "Autorità di certificazione dei servizi Starfield Services - G3" (ad esempio), fai devi " prendilo dalla bocca del cavallo "come lo metti.

Ci sono alcune opzioni ... La cosa più semplice è, se Starfield ha abilmente "riavviato" la propria fiducia per te. Se "Starfield (trusted) CA" ha firmato il cert "Starfield (new) CA", allora potresti aver fiducia che sia autentico.

In caso contrario, è necessario ottenere la chiave pubblica da Starfield in qualche modo che ti renda fiducioso che sia davvero la loro, quindi usarla per verificare la firma / impronta digitale sul nuovo certificato CA che hanno emesso.

Da un punto di vista pratico, se ti fidi di alcuni browser per aver eseguito il legwork per te, puoi prelevare il certificato CA attendibile dal suo truststore.

In definitiva, scegli quali CA hanno fiducia nel loro compito di far valere la legittimità di altri siti web. Puoi fare questa scelta scegliendo i certificati CA nel tuo truststore o lasciare che il browser scelto faccia quella scelta per te. Se SuspiciousWebsite (tm) ti presenta qualcosa firmato da LegitimateSoundingCAYouDontHave, è qui che devi decidere se ti fidi di questa CA o meno. Non accetterei mai un certificato CA sconosciuto offerto da alcuni siti web. Ottieni il certificato di root da un altro truststore di altri browser o direttamente dall'entità CA stessa.

Una volta accettato un certificato CA, ti fidi di tutto ciò che firma i segni. Se lasci che il falso CA di un badguy cert in, quel malvagio può banalmente rovinare la tua banca o qualsiasi altro sito.

score 0 · Answer 2

Di solito vuoi confrontare la "identificazione personale" dei certificati. Questo è ciò che viene utilizzato nel codice quando si valuta se il certificato presentato corrisponde a un certificato esistente in un repository di certificati bianchi elencati.

Utilizzando questo meccanismo, in genere si vorrebbe affidare il certificato dell'autorità in modo che qualsiasi certificato emesso da tale autorità sia considerato attendibile dal browser, risalendo la catena di certificati e verificando la radice. Spero che questo risponda alla tua domanda.