Sto usando OpenBSD con un browser chiamato Xombrero che non ha certificati SSL per impostazione predefinita. Devo ottenere i certificati dal file /etc/ssl/certs.pem?
(es .: non mi fido di OCSP e non mi fido del fatto che il mio browser si autoaggiorna automaticamente - se ce n'erano - quindi i certificati non sono aggiornati)
Domanda : ci sono delle best practice per ottenere un elenco di certificati affidabili di CA?
In ogni caso, OCSP non ti dice chi dovresti fidarti; OCSP è solo preoccupato per la revoca . Quando un server OCSP invia una risposta che dice che un dato certificato è "buono", questo è un termine improprio; significa davvero "non esiste un certificato revocato conosciuto con quel numero seriale". OCSP non garantisce che il certificato di destinazione esista del tutto, per non parlare del fatto che è "affidabile".
Detto questo, l'elenco di CA attendibile è, in effetti, l'elenco di trusted CA. Dichiarerai di fidarti di qualche CA perché hai trovato un elenco su qualche pagina Web che ti dice che "ti fidi di questa CA" e che quella pagina Web ti è stata segnalata da "un tizio su Internet" (che non mostra né il suo vero nome, né la sua vera faccia)?
Se vuoi veramente consegnare la tua sicurezza al consiglio di un estraneo a caso, che sia un orso, puoi almeno applicare un giudizio personale e decidere su base CA se lo vuoi o no. Come punto di partenza , è possibile iniziare copiando la "CA attendibile" da un altro browser Web, ad esempio Internet Explorer o Firefox. La CA di IE è la CA che Microsoft, nella sua infinita saggezza, ha dichiarato adatta a essere considerata attendibile dal pubblico (l'elenco e le motivazioni sul perché questi CA sono "attendibili" possono essere trovati ci ); potreste voler eliminare un po 'quella lista. Tuttavia, essendo la quota di mercato di Windows quella che è, è praticamente garantito che qualsiasi sito Web HTTPS che "funziona" abbia un certificato emesso direttamente o indirettamente da uno di questi CA.
(Poiché l'elenco Microsoft di CA contiene un numero di "CA governative" che sono state aggiunte perché i governi sono, di norma, narcisistici, ma in realtà non sono usati , l'elenco può essere considerevolmente potato senza interrompere seriamente la navigazione sul Web. Potrebbero esserci circa una dozzina di CA root comunemente utilizzate.