Come posso impostare un livello di attendibilità inferiore per Let's Encrypt in Firefox?

1

(In questa domanda ti chiedo di Let's Encrypt perché è un argomento scottante, ma potrebbe esserci la stessa domanda per la soluzione SSL universale di CloudFlare o altre CA automatizzate)

Mi piace Let's Encrypt ha reso molto semplice per tutti proteggere i loro server con HTTPS e funziona semplicemente Works ™. D'altra parte, non mi piace che l'unica cosa necessaria per Let's Encrypt sia una voce DNS o un file su un server web.

Quello che mi piacerebbe è che Firefox mi mostri che sono su un sito protetto con Let's Encrypt. Dovrebbe ancora convalidare i certificati firmati dalla CA, perché è una CA in buona fede, ma mi piacerebbe che mostrasse comunque un segnale di avvertimento nella barra degli indirizzi. La ragione per cui voglio questo è che ritengo che un sito con il certificato Let's Encrypt sia solo moderatamente affidabile e ci penserei due volte prima di inserire informazioni personali su un sito del genere.

Finora non ho trovato un'impostazione in Firefox per selezionare la fiducia per una CA, a parte diffidare del tutto, che non è quello che voglio fare.

Le risposte suggeriscono di fidarsi solo dei certificati EV e non dei certificati DV. Questa è già una distinzione che uso; Non inserirò le informazioni di pagamento su un sito con un certificato DV. Il mio scopo di questa domanda è di avere una distinzione più fine tra DV-CA. Non tutte le DV-CA hanno la stessa procedura di convalida e mi fido di alcune procedure di convalida più di altre.

    
posta jornane 08.12.2016 - 16:16
fonte

1 risposta

8

Come dice Matthew, la differenza non è tra Let's Encrypt e altre CA, ma tra i certificati Validated Domain (DV) e Extended Validation (EV). Questo è quello che vuoi distinguere, poiché la maggior parte delle CA esegue controlli automatici di esistenza di file o DNS per i certificati convalidati dal dominio, mentre i certificati di convalida estesa richiedono molto più lavoro cartaceo e intervento manuale.

Fortunatamente, i browser identificano già i certificati EV, spesso mettendo il dominio in verde, controlla i documenti del browser.

Non esistono differenze significative nelle tecniche di convalida del dominio tra Let's Encrypt e, ad esempio, certificati CA Comodo venduti tramite NameCheap (solo per esempio).

Buona fortuna, però, se si rispettano solo certificati EV: la maggior parte dei siti ha certificati DV.

    
risposta data 08.12.2016 - 16:39
fonte