어떤 신뢰할 수있는 루트 인증 기관을 신뢰해야합니까?

컴퓨터에 설치된 의심스러운 루트 인증서에 대한 최근의 두 개의 Slashdot 기사 ( # 1 # 2 )를 마친 후 컴퓨터에 설치된 항목을 자세히 살펴보기로 결정했습니다.
(Win7에서 현재 버전의 Chrome을 사용하는데 Windows CA 목록을 사용하는 것으로 알고 있습니다.)

내가 찾은 것은 정말 놀랐습니다.

• 비교적 깨끗한 두 컴퓨터에는 CA 목록이 크게 다릅니다.
• 각각 1999 년과 2004 년에 만료 된 여러 CA가있었습니다!
• 많은 CA의 신원을 이해하기 쉽지 않습니다.

또한 현재 알려진 알 수없는 Y2K38 유형 버그를 피하기 위해 UNIX 롤오버 직전에 2037 년에 많은 인증서가 만료되는 것을 보았습니다. 그러나 다른 인증서는 훨씬 오래 사용할 수 있습니다.

나는 주변을 검색했지만 다소 놀랍게도 일반적으로 허용되는 CA의 정식 목록을 찾을 수 없었습니다.

• 컴퓨터에 MITM 불량 인증서가 있으면 어떻게 알 수 있습니까?
• "허용 된"인증서 목록이 있습니까?
• 만료 된 CA를 제거해도 안전합니까?
• HTTPS에 CA를 사용한 적이 있는지 / 언제 알 수 있습니까 ?

컴퓨터에 MITM 불량 인증서가 있으면 어떻게 알 수 있습니까?

당신은 종종하지 않을 것입니다. 실제로 이것은 SysAdmins가 직원의 HTTPS 세션을 스누핑하는 방법입니다. 신뢰할 수있는 인증서를 모든 데스크톱에 자동으로 푸시하며, 신뢰할 수있는 인증서는 최종 사용자에게 알리지 않고 중간 프록시가 콘텐츠를 MITM으로 스캔 할 수 있도록합니다. ( "https 프록시 그룹 정책을 위해 CA 푸시 아웃"을 찾아보십시오. 평판이 낮은 링크가 부족했습니다!)

"허용 된"인증서 목록이 있습니까?

재고 운영 체제 설치에는 일반적으로 몇 가지 기본 인증서 목록이 있습니다. 그러나 특정 브라우저 (예 : http://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) 에는 ALSO 하드 코딩 된 CA 목록이 있으므로 확장 유효성 검사 ( "녹색 막대")를 지원합니다. EV 목록도 다양합니다 (예 : http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

만료 된 CA를 제거해도 안전합니까?

일반적으로 그렇습니다 ... 만한다면 웹 사이트를 서핑하는 것입니다. 그러나 특정 서명 응용 프로그램을 실행하는 다른 문제가 발생할 수 있습니다.

HTTPS에 CA를 사용한 적이 있는지 / 언제 알 수 있습니까?

흠 ... 작문이 필요한 앱처럼 들립니다. ;)