브라우저에 남겨 둘 인증서와 제거 할 인증서를 확인하는 방법

12

보안을 약간 강화하고 싶습니다. 브라우저에서 불필요한 인증서를 비활성화하고 있습니다. 예를 들어, 중국의 "WoSign CA Limited"인증서는 분명히 필요하지 않지만 "Thawte Consulting cc"는 필요합니다.

정보를 바탕으로 결정을 내릴 수 있도록 실제로 사용한 인증서를 확인할 수있는 방법이 있습니까? "Trustis Limited"를 예로 들어 보겠습니다. 어떤 기준으로 유지하거나 떠나기로 결정합니까? 또한 "Thawte Consulting cc"외에도 "thawte, Inc."에 대한 인증서가 있습니다. 스푸핑 일 수 있습니까? 내가 어떻게 알 겠어?

google-chrome  firefox  security  ssl  certificate 
도탄 코프
소스
3
이것은 어려운 문제입니다. 실제로 어떤 것이 합법적인지 알 수 없으며 미래에 어떤 것이 필요하고 필요할지 알지 못합니다 (의존하는 서비스 제공 업체는 사용하는 CA를 변경할 수 있습니다. CA 스위치). 보안 커뮤니티의 일부 사람들이 CA 시스템이 근본적으로 고장 났다고 생각하는 이유 중 하나입니다. 대부분의 사람들은 일반적으로 응용 프로그램을받는 인증서에 대해 현명한 테스트를하기 위해 mozilla (또는 인증서 저장소를 구성하는 사람, 귀하의 경우 Google이 될 수 있음)에 의존해야합니다.
Jonas Schäfer
4
실제로 Certificate Patrol 은 정확히 원하는 것입니다 (몇 주 사용). 그러나 Google 크롬에서는 사용할 수 없습니다 .
Jonas Schäfer
@JonasWielicki, 그렇게 어렵지 않습니다. 우리는 선택적으로 문제가있는 다음 때, 우리는 할 수 있습니다, 국가 차단할 수 있습니다 다음 우리가리스트에 포함시킬 것인지를 결정합니다. 먼저 금지하고 나중에 화이트리스트에 올리십시오.
Pacerier
@Pacerier 나는 그렇게 쉬운 생각하지 않습니다. 먼저, Five-Eyes 기반 CA 전체를 차단하면 (이를 진지하게 받아들이려는 경우) 즉시 재 허용해야합니다. 아무것도 이겼다. Certificate Patrol은 인증서의 "의심스러운"변경 (예 : 조기 인증서 변경 또는 CA 변경)에 대해 알려주는 장점이 있습니다.
Jonas Schäfer

답변:

7

보안에피소드 # 481 ! Podcast는 인증서 투명성 관련 주제를 다룹니다 . "어떤 CA를 신뢰할 수 있습니까?"라는 질문 "해당 사이트를 나타내는 것으로 알려진 인증서"로 대체됩니다.

RFC 6962 가 보편적으로 배포 되면 "홍콩 우체국 CA"(일명 Chineese Government)가 www.gmail.com에 사기 인증서를 발행했음을 감지 할 수 있습니다.

수백 개의 CA가 모든 사이트에 인증서를 발급 할 수 있다는 믿음은 열악합니다.

안드레아스 F
소스
4
파이어 폭스는 현재 1 년 동안 RFC 6962를 지원 하는 패치 를 가지고 있었지만 트렁크로 받아 들여지지 않았습니다.
dotancohen
1
상상의 예를 상상의 것으로 명시 적으로 인용 하거나 인용을 제공 할 수 있습니까?
phoeagon
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.