Algunas distribuciones del paquete cURL incluyen una utilidad mk-ca-bundle.pl
que compila un ca-bundle.crt
del almacén de certificados raíz de Mozilla para usar como una lista de autoridades confiables. El script imprime las siguientes advertencias :
- El uso de http está sujeto a la acción del hombre en el ataque central del contenido de certdata
- Predeterminado para 'liberar', pero se pueden encontrar actualizaciones más recientes en otros árboles
- el formato del archivo certdata.txt puede cambiar, tiempo de retraso para actualizar este script
- En general, no es prudente confiar ciegamente en las CA sin revisión manual & verificación
- Las aplicaciones de Mozilla utilizan controles de seguridad adicionales no están representados en certdata
- El uso de este script hará que un ingeniero de seguridad rechace los dientes y lo jure.
¿Cuál es exactamente la preocupación a la que hace referencia el # 4 y cómo puedo compilar una versión actualizada de ca-bundle.crt
de forma segura?