Utilizzo di un set minimo di autorità di certificazione

1

È stato conosciuto per un po 'ora che SSL è più di un'illusione di sicurezza di una vera e propria.

Poiché non è completamente inutile e al momento non ci sono alternative reali (anche se convergence sembra interessante), mi piacerebbe provare a utilizzare un insieme "minimo" di CA, supponendo che i 3 maggiori riguarderanno il 70% circa di Internet e in particolare tutti i siti Web comuni.

La mia domanda è: Esiste un set CA così minimo?

    
posta waldofounddead 15.05.2015 - 09:30
fonte

1 risposta

3

Risposta breve: no.
Penso che non sarai felice solo con tre CA. Un sacco di clic su avvisi di certificato. Ciò non renderà la tua navigazione più sicura.

Riconsiderare anche ciò che stai cercando di ottenere. Presumo, che tu voglia proteggerti da CA canaglia e / o sfruttate. Ciò significa che le CA emetteranno certificati per google.com e così via, quando Google non ha mai chiesto loro di farlo. E questi certificati potrebbero quindi essere utilizzati per intercettare i visitatori di google.com.

Quindi, sì, se escludi le oscure compagnie olandesi / turche (rif. DigitNotar hack, re. Turktrust hack) dal tuo negozio di fiducia, non sarai influenzato se tale CA viene violato. - Come in effetti è successo in passato.

Ciò di cui non sarai protetto, è se una Sub-CA, una sussidiaria o un rivenditore delle tue CA di fiducia viene violato. Questo è successo anche in passato. (Comodo Brasile per esempio.)

Quindi cosa ti aiuterà ora?
Ciò che ti proteggerà comunque è se si utilizza un browser che supporta il blocco dei certificati. Ad esempio, Google Chrome. Hanno costruito "Pin-Set" per alcuni siti. (Google, Facebook, Twitter, ecc.)

Non permetteranno l'accettazione di un certificato emesso da diverse CA accreditate.

Quali soluzioni alternative esistono, ma sono troppo fastidiose?
Quello che ho provato per un po 'è l'estensione per Firefox Certificate Patrol . (Ultimo aggiornamento nel 2011.) Ti allarma quando vedi nuovi certificati per un sito. E poi ti chiede di rispondere si o no.

L'ho trovato troppo rumoroso per essere utile per me.

C'è una bella annotazione nel capitolo 5 di questo PDF qui:
2013-12-03, Mariana Isabel Oliveira Taveira & Thiago Sobral Marques da Silva, Certificati SSL e HTTPS - Problemi nell'attuale modello di Trust Web per la certificazione digitale

Che cosa potrebbe essere d'aiuto in futuro?
Ciò che potrebbe anche aiutare in futuro è " Trasparenza certificato ". Dove il concetto è che, anche se possono essere generati certificati fraudolenti, almeno ci sarà una pista di controllo.

E i certificati senza audit trail vengono immediatamente rifiutati. L'idea è che quando viene scoperto un CA hack:

  • (a) la pulizia può essere effettuata molto più facilmente. Tutti i certificati emessi sono nella traccia di controllo e possono essere revocati in blocco.
  • (b) questo potrebbe facilitare la scoperta di un CA hack in primo luogo. Poiché tutte le tracce di controllo sono pubbliche.

La tecnologia CT è in fase di introduzione; di nuovo Google Chrome è ancora in prima linea, ma non viene applicata ancora da nessuna parte.

Detto questo, se vuoi davvero andare avanti e creare un 3-CA-trust-store allora leggi sotto.

Tre più grandi CA: Comodo, Symantec, GoDaddy
Questo articolo dice che i tre maggiori sondaggi (ciò che mai significa) sono Comodo, Symantec e GoDaddy.

W³Techs.com, Utilizzo delle autorità di certificazione SSL per i siti web (Archiviato here .)

Quindi potresti provare a impostare la tua CA minima con quelle tre CA.

    
risposta data 15.05.2015 - 10:13
fonte

Leggi altre domande sui tag