Come determinare quali certificati del browser abilitare in base al singolo caso?

1

Considerando che non c'è modo di vedo effettivamente quali certs che uso nei miei siti web visitati regolarmente, ho deciso di disabilitare tutti i certificati e riabilitarli caso per caso. Questo è per il duplice obiettivo di aumentare la sicurezza e anche per familiarizzare con le CA di cui fidarsi . Se Centro informazioni sulla rete Internet cinese sta improvvisamente firmando la mia catena di certificati in Gmail, mi piacerebbe saperlo! Firefox fornito da Ubuntu in effetti viene fornito con il CERT CNNIC preinstallato.

Ora che ho disattivato tutte le CA, quando provo a connettermi a https://example.com , Firefox mi informa correttamente che la connessione non è affidabile. Tuttavia, non vedo alcun modo di guardare il certificato per determinare quale CA riattivare. Quando i certificati sono abilitati, puoi fare clic su Firefox Lock Icona e vedere il certificato, ma con la CA utilizzata dal certificato disabilitato sembra che ci sia modo di vedere il certificato. Sono sicuro di poter scrivere Python e Curl su rivelare i dettagli del cert ma preferirei qualcosa all'interno di Firefox stesso. Firefox ha un modo per mostrare agli utenti certificati che non hanno una CA corrispondente abilitata? Sembra una supervisione evidente se non lo fa.

Nella seguente schermata è possibile vedere che la sezione I Understand the Risks per aprire il Visualizzatore certificati non è disponibile per i certificati la cui CA principale è disabilitata:

TLDR: Come visualizzare il nome della CA radice (che devo riattivare) di un cert che Firefox non riconosce, all'interno di Firefox stesso?

    
posta dotancohen 02.12.2015 - 13:35
fonte

1 risposta

5

AIA che insegue?

TLDR: How to see the root CA of a cert that Firefox does not recognize, from within Firefox itself?

Non si arriva direttamente alla CA radice. Ma potresti essere in grado di vedere la CA immediatamente superiore.

Alcuni certificati (tutti?) hanno un campo Accesso alle informazioni dell'autorità che consente a un certificato di rispondere alla domanda Chi è tuo padre? .

(Per accedere alla finestra Viewer certificati , procedi in questo modo: I Understand the Risks | Add Exception... | View... | Details )

Nelcasodiexample.comèquesto: link

15 principali CA principali per iniziare

Ecco le top 15 CA principali da una scansione di Alexa Top 1 Million ( 2015-10 da Hubert Kario):

Root CAs                                      Count     Percent
---------------------------------------------+---------+-------
(d6325660) COMODO RSA Certification Authority 113492    20.662
(2c543cd1) GeoTrust Global CA                 107601    19.5895
(eed8c118) COMODO ECC Certification Authority 48977     8.9166
(cbf06781) Go Daddy Root Certificate Authorit 47939     8.7276
(5ad8a5d6) GlobalSign Root CA                 44123     8.0329
(b204d74a) VeriSign Class 3 Public Primary Ce 29359     5.345
(244b5494) DigiCert High Assurance EV Root CA 25999     4.7333
(2e4eed3c) thawte Primary Root CA             23372     4.255
(157753a5) AddTrust External CA Root          20188     3.6754
(653b494a) Baltimore CyberTrust Root          12053     2.1943
(ae8153b9) StartCom Certification Authority   9139      1.6638
(fc5a8f99) USERTrust RSA Certification Author 8775      1.5975
(3513523f) DigiCert Global Root CA            8281      1.5076
(4bfab552) Starfield Root Certificate Authori 8226      1.4976
(480720ec) GeoTrust Primary Certification Aut 5570      1.0141

Varie

Addon per Patrocircuito certificato

Hai provato Firefox Certificate Patrol addon? Sembra il tuo vicolo.

EDIT2015-12-03: Perché non funziona su Wikipedia? HSTS!

Suppongo che questo non funzioni per Wikipedia, perché wikipedia.org è HSTS precaricato in Firefox (archiviato qui ).

E manca il pulsante "Capisco i rischi" perché per errori HSTS a Viene applicata la regola "nessun utente recourse" . Questo è in base alla progettazione.

    
risposta data 02.12.2015 - 15:08
fonte

Leggi altre domande sui tag