क्या विश्वसनीय रूट प्रमाणीकरण अधिकारियों पर भरोसा करना चाहिए?

10

मशीनों पर स्थापित संदिग्ध सर्टिफिकेट प्रमाणपत्रों के बारे में दो हालिया स्लैशडॉट लेखों ( # 1 # 2 ) के बाद, मैंने अपने मशीनों पर जो कुछ भी स्थापित किया है, उस पर बारीकी से विचार करने का निर्णय लिया।
(मैं Win7 पर क्रोम के वर्तमान संस्करणों का उपयोग करता हूं, जिसे मैं समझता हूं कि सीए की विंडोज सूची का उपयोग करता है)

मुझे जो मिला उसने मुझे चौंका दिया।

  • दो अपेक्षाकृत साफ मशीनों में सीए की अलग-अलग सूची थी।
  • प्रत्येक के पास 1999 और 2004 में समाप्त हुए CA की संख्या थी!
  • कई सीए की पहचान को समझना आसान नहीं है।

मैंने यह भी देखा कि बहुत से प्रमाण पत्र 2037 में समाप्त होते हैं, कुछ समय पहले UNIX-rollover से, संभवतः वर्तमान में अज्ञात Y2K38- प्रकार के बग से बचने के लिए। लेकिन अन्य अनाज बहुत लंबे समय तक अच्छे हैं।

मैंने चारों ओर खोज की, लेकिन, कुछ आश्चर्यजनक रूप से, एक कैनोनिकल सूची नहीं मिल सकी जिसमें सीए आमतौर पर स्वीकार किए जाते हैं।

  • अगर मुझे अपनी मशीन पर MITM बदमाश का सर्टिफिकेट मिलता है, तो मुझे भी कैसे पता चलेगा?
  • क्या "स्वीकार किए गए" समारोहों की एक सूची मौजूद है?
  • क्या मैं समय सीमा समाप्त सीए निकालने में सुरक्षित हूं?
  • क्या मुझे पता चल सकता है कि / जब मैंने कभी HTTPS के लिए CA का उपयोग किया है?
google-chrome  security  ssl  certificate 
abelenky
स्रोत
1
सभी उत्कृष्ट प्रश्न। आप कुछ Security.stackexchange.com पोस्ट
रिच होमोलका

जवाबों:

2

अगर मुझे अपनी मशीन पर MITM बदमाश का सर्टिफिकेट मिलता है, तो मुझे भी कैसे पता चलेगा?

तुम अक्सर नहीं होता। वास्तव में, यह अक्सर होता है कि कैसे SysAdmins कर्मचारियों के HTTPS सत्र को टटोलते हैं: वे चुपचाप सभी डेस्कटॉप के लिए एक विश्वसनीय प्रमाण पत्र निकालते हैं, और यह विश्वसनीय प्रमाण अंत उपयोगकर्ताओं को अलर्ट किए बिना MITM स्कैन सामग्री के लिए एक मध्यवर्ती प्रॉक्सी की अनुमति देता है। (ऊपर देखें "पुश आउट सीए फॉर https प्रॉक्सी ग्रुप पॉलिसी" - मेरी कम प्रतिष्ठा वाले लिंक से बाहर भाग गया!)

क्या "स्वीकार किए गए" समारोहों की एक सूची मौजूद है?

स्टॉक ऑपरेटिंग सिस्टम इंस्टॉलेशन पर कुछ आम तौर पर सेरेट्स की डिफ़ॉल्ट सूची होती है। हालांकि, विस्तारित ब्राउज़रों का समर्थन करने के लिए कुछ ब्राउज़रों (जैसे, http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) में CAs की हार्डकोरोड सूचियाँ भी हैं । लेकिन ईवी सूचियां भी बदलती हैं (उदाहरण के लिए, http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

क्या मैं समय सीमा समाप्त सीए निकालने में सुरक्षित हूं?

आम तौर पर, हाँ ... यदि आप कर रहे हैं तो सभी वेब साइटों पर सर्फिंग कर रहे हैं। हालाँकि, आप कुछ हस्ताक्षर करने वाले अनुप्रयोगों को चलाने वाले अन्य मुद्दों में भाग सकते हैं।

क्या मुझे पता चल सकता है कि / जब मैंने कभी HTTPS के लिए CA का उपयोग किया है?

हम्म्म्म ... एक ऐप की तरह लगता है जिसे लिखने की ज़रूरत होती है। ;)

user309526
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.