¿Por qué los exploradores permiten CAs raíz personalizadas?

Realmente no hay una buena razón para que los navegadores lo permitan, y deberían rechazarlo. Permítanme abordar las justificaciones defectuosas una por una:

1. Desarrollo web. No necesita una CA raíz para firmar certificados solo para un solo dominio o un pequeño conjunto finito de dominios para los que está haciendo el desarrollo. En su lugar, el navegador podría permitir la adición de certificados de CA válidos solo para los dominios en particular , y advertirle en la barra de URL cuando se utiliza dicho certificado, en lugar de permitir la adición de certificados de CA que pueden firmar de forma arbitraria dominios.

2. Enterprise y AV MITM. Estas son solo malas ideas por razones que puedes encontrar discutidas en otros lugares. Implementar AV en puntos finales, no a través de MITM. El control de activos a través de MITM simplemente no funciona, excepto contra usuarios realmente ingenuos. Si tiene datos tan confidenciales que cree que necesita un control de activos a través de MITM, es probable que necesite sistemas con aire sin acceso a Internet.

3. "Si el navegador no lo permitiera, los administradores que deseen agregar CA raíz solo modificarían el navegador". Sí, eso siempre es técnicamente posible, pero los proveedores de navegadores tienen la oportunidad de hacerlo legalmente difícil o imposible simplemente al condicionar el uso de la marca registrada del navegador para no manipular la confianza de UX de CA. He estado abogando por esto por mucho tiempo. Si los navegadores hicieran esto, los usuarios lo sabrían tan pronto como vieran "Firefox" o "Chrome" en un sistema en el que se sientan que no va a aceptar certificados fraudulentos para permitir que alguien los MIME mientras confíen en eso. la parte que creó el sistema es respetuosa de la ley . Esta es una suposición bastante razonable en contextos como lugares de trabajo, escuelas, bibliotecas, etc., y es comprobable, por lo que si alguien infringe las reglas, es fácil eliminarlas y permitir que el proveedor del navegador inicie acciones legales.

Como se señaló en los comentarios y respuestas, hay muchas razones legítimas por las que querría agregar una CA al almacén de confianza de su navegador, y los mecanismos para hacerlo requieren acceso de administrador a la máquina / navegador.

Está insinuando un modelo de confianza en el que no considera que su administrador (o su pasado) sea de confianza y le gustaría que el navegador distinguiera visualmente entre un certificado de confianza pública (es decir, emitido por una CA en Mozilla) lista de confianza pública) y una de confianza privada porque se agregó explícitamente al almacén de confianza del navegador. Tal vez el verde habitual con un símbolo de advertencia para confianza privada?

Buena idea! También solucionaría mi problema de necesitar dos copias de Firefox instaladas: una para probar productos que me necesitan para instalar certificados y otra para navegar por Internet. Debería ver si Firefox ya tiene una mejora para esto, y si no, sugiéralo :)

Lo que desea es que el navegador defienda al usuario contra los "ataques" realizados por el administrador local.

En tal escenario, la defensa es imposible. El administrador "malicioso" siempre puede sustituir a su Firefox legítimo por un impostor que compiló utilizando sus propias CA, que mostrarán un candado verde. Cuando estás en el trabajo y estás usando la máquina de alguien (la compañía en este caso), estás 100% a merced del propietario de la máquina. Si la compañía quería espiarte de forma encubierta, siempre pueden instalar keylogger y ver tus contraseñas antes de que lleguen a un navegador seguro.

El cuadro verde no indica seguridad frente a amenazas locales, indica seguridad frente a espionaje remoto. En este caso, indica una conexión segura a su inspector de TSL. Indica que sus compañeros de trabajo en la misma LAN no pueden rastrear sus contraseñas, de ahí el icono verde. Lo que sucede después de que el inspector es responsabilidad de su administrador de red y el navegador no puede saber si realmente utiliza HTTPs.

Lo que puede hacer, como usuario, es ver el certificado y examinar su ruta de certificación. Su navegador no puede decidir si el certificado emitido por DigiNotar es "mejor" que el emitido por EvilCorp (que puede ser tu empleador). Los certificados se cambian constantemente y las CA también se cambian. El navegador no puede decidir si una CA es más confiable que la otra. Solo usted puede decidir quién es el emisor y si puede confiar en ellos, y con qué tipo de información. Se supone que debes usar la máquina solo para actividades relacionadas con el trabajo, por lo que técnicamente no estás haciendo nada que no quieras que EvilCorp vea.

1. Porque la lista oficial cambia con el tiempo.
2. Debido a que las empresas tienen una necesidad legítima de incluir CA "internas".
3. Porque las empresas tienen un interés legítimo en poder realizar Man-in-the-the-Middle por motivos de seguridad, cumplimiento o recursos humanos.
4. Porque los desarrolladores y evaluadores tienen una necesidad legítima de Man-in-the-Middle.

¿Prefieres estar confiando en StartCom hoy? Eso es lo que obtendrías con una modificación no trivial.

Una de las principales razones para permitir una CA raíz personalizada es para el desarrollador web. El desarrollo y la versión de prueba muy a menudo utilizan el certificado interno (principalmente por su costo y facilidad de creación). No permitirle agregar su CA raíz daría lugar a (más) estado diferente entre su instancia dev / build y la de producción, lo que podría generar errores difíciles de solucionar.

Además, el proxy de la empresa, como empresa (en la mayoría de las legislaciones) es responsable de lo que usted hace con su Internet, a menudo utilizan a man en el medio, lo que, aunque es dudoso, es en su mayoría legal y esperado.

Otra razón para no codificar la CA raíz es permitirle eliminar una en la que ya no confía (tal vez estén bajo el control de un gobierno en el que no confíe, tal vez hayan perdido recientemente la clave, etc.) independientemente de su consideración del navegador hacia ellos.

En general, la adición de nuevos certificados raíz requiere Adminstrator o acceso de nivel raíz. Por lo tanto, no pueden instalarse sin el consentimiento del propietario de la computadora (a menos que se utilice un exploit).

El problema parece ser que tienes una mala interpretación de quién es el propietario de la computadora. Si la computadora fue emitida por su empleador y tienen acceso de root, no es "su" computadora. Es de ellos y te dejan usarlo. No debe tener ninguna expectativa de privacidad con ese sistema. Probablemente haya dicho algo al respecto en su contrato de empleado. (Los detalles sobre esto pueden variar según las leyes locales).

Si su computadora es parte de una red corporativa, entonces tiene sentido agregar CAs raíz personalizadas para los sitios web internos que usan HTTPS o varios paquetes de actualización o aplicaciones internas que envía a sus clientes / =.