Come vengono distribuite le CA radice per SSL?

1

Per internet explorer o qualsiasi altra cosa, ho capito ... In pratica è una sneakernet, li ottieni sul supporto fisico dal quale installi il tuo sistema e browser.

Ma per quanto riguarda firefox e chrome?

E poi, che ne dici di una distribuzione Linux? Non tutto il traffico SSL "sicuro" su un computer Linux è teoricamente insicuro, se tutti i certificati di root sono preinstallati su un'immagine che è stata scaricata in modo non sicuro?

Voglio dire, a meno che, suppongo, forniscano un checksum via SSL che si verifica prima di installare il sistema, giusto?

    
posta wwaawaw 18.11.2012 - 02:29
fonte

1 risposta

2

Quando il software deve utilizzare SSL / TLS, generalmente desidera utilizzare un elenco di autorità di certificazione. Potrebbe esserci un software che avvisa semplicemente sempre per ogni certificato sconosciuto, ma come hai detto tu, Firefox e Chrome hanno un elenco di CA.

Dove ottengono questo elenco dipende dal software. Puoi google questo, lo sai.

  • Mozilla mantiene un proprio elenco di CA (per Firefox, Thunderbird, ecc.)
  • Chrome utilizza l'elenco delle CA dal sistema operativo o almeno su Windows che ho letto.
  • Opera mantiene un proprio elenco di CA sembra.
  • Safari utilizza l'elenco del sistema operativo (Apple su OS X e Microsoft su Windows).

Poi sulla tua domanda su come si ottiene questo elenco: hai ragione, se il download non è stato verificato per essere sicuro (in modo sicuro), quindi tutte le comunicazioni da lì sono intrinsecamente insicuri. Quando stai scaricando una distribuzione Linux e sostituisco il tuo download con uno che ha una lista CA alterata, allora sì, potrei leggere tutte le tue comunicazioni HTTPS. Probabilmente è molto più semplice installare il malware.

Si noti che un checksum da solo non è la soluzione definitiva: il checksum deve essere ottenuto su una connessione sicura (ad es. https), oppure può anche essere modificato.

È divertente: se hai bisogno di ottenere il checksum su https, dove il tuo browser (o sistema operativo) corrente ha ottenuto un elenco di CA? Da qualche parte devi sempre fidarti di qualcuno o qualcosa (come il negozio che hai acquistato da Windows), oltre alla fiducia che hai inserito nelle CA.

    
risposta data 18.11.2012 - 02:54
fonte

Leggi altre domande sui tag