Cree una lista segura de CA confiables

Navega tus respuestas
5

Algunas distribuciones del paquete cURL incluyen una utilidad mk-ca-bundle.pl que compila un ca-bundle.crt del almacén de certificados raíz de Mozilla para usar como una lista de autoridades confiables. El script imprime las siguientes advertencias :

  
  1. El uso de http está sujeto a la acción del hombre en el ataque central del contenido de certdata
    2.   
  2. Predeterminado para 'liberar', pero se pueden encontrar actualizaciones más recientes en otros árboles
    3.   
  3. el formato del archivo certdata.txt puede cambiar, tiempo de retraso para actualizar este script
    4.   
  4. En general, no es prudente confiar ciegamente en las CA sin revisión manual & verificación
    5.   
  5. Las aplicaciones de Mozilla utilizan controles de seguridad adicionales no están representados en certdata
    6.   
  6. El uso de este script hará que un ingeniero de seguridad rechace los dientes y lo jure.
    7.   

¿Cuál es exactamente la preocupación a la que hace referencia el # 4 y cómo puedo compilar una versión actualizada de ca-bundle.crt de forma segura?

    
pregunta gary 30.12.2015 - 01:26
fuente

1 respuesta

2

La preocupación es que cada CA incluida tiene el poder organizativo para romper su seguridad, y la usará en circunstancias diferentes y difíciles de predecir. El paso de "revisión manual" pretende ser un recordatorio de que necesita tener algún proceso o criterio de qué CAs desea incluir.

Lo que debe incluir exactamente está sujeto a un debate continuo por parte de expertos.

Por ejemplo, el proceso de revisión de Google ha provocado que eliminen un subconjunto de certificados de Symantec. ( enlace ). Otro ejemplo es que Tor no confía en CyberRoam ( enlace ) Microsoft básicamente subcontrata la decisión a un grupo llamado CA Browser Foro.

Por lo tanto, no hay una lista específica de pasos que pueda seguir en el # 4 que satisfaga el # 6.

    
respondido por el Adam Shostack 04.01.2016 - 17:18
fuente

Lea otras preguntas en las etiquetas

¿La propiedad RekeyLimit en sshd_config obliga a re-keying / key re-exchange? Reaver atascado en flow_handler