Me preguntaba por qué hay un archivo en su computadora que implementa las CA raíz confiables en lugar de algo similar a DNS donde hay un archivo en los servidores raíz contra el que las computadoras se enfrentan para recuperar la lista de CA confiables.
Gracias de nuevo, Francis
No hay World Overlord porque hay demasiados candidatos para la publicación.
El protocolo X.509 completo está completamente a la altura de la tarea de tener una única CA raíz. Sin embargo, no hay una CA raíz única porque la gente no puede estar de acuerdo sobre a quién se le debe confiar el poder total sobre todos los certificados.
O, desde otro punto de vista, es una raíz global. Se llama Bill Gates. Internet Explorer validará un certificado contra una lista de CA raíz conocida y de confianza local, y esa lista viene con Windows y se actualiza a través de los mecanismos de actualización oficiales de Microsoft. Por lo tanto, para el 99,9% de las personas (que no juegan con su CA raíz localmente instalada), Microsoft decide, en última instancia, en qué CA raíz se confía. En ese sentido, Microsoft es la raíz global (al menos para todos los usuarios de Windows).
DigiNotar era una CA de confianza, y se dividió en. Los atacantes pudieron emitir certificados fraudulentos para sitios que no poseían. Los proveedores de navegadores eliminaron rápidamente el certificado de DigiNotar de su lista de confianza.
¿Cuál crees que sería la consecuencia, si en su lugar hubiera una única raíz global, y se haya pirateado con éxito?
Probablemente porque no resuelve un problema que existe. ¿En quién confías para certificar que todos los demás son confiables? Microsoft? Mozilla? ¿Canónico? Verisign? Thawte? En ese nivel, ¿cuál es la diferencia entre sacarlos de una tienda y rastrear sus firmas un nivel más?
Peor aún, ¿cómo agregar una raíz de confianza local en dicho sistema? Por ejemplo, mi empleador ha creado su propia CA Root y han enviado ese certificado a todas las computadoras emitidas en el lugar de trabajo. Bajo un sistema global, ¿cómo verías que se agreguen a esa lista global? ¿Tendría usted que el certificado de ExampleCo firme la raíz global autenticada de One-True-Already, y reemplace la raíz global por la propia? ¿Cómo funciona eso cuando la raíz global ya está autofirmada? Y si va a permitir dos raíces globales en este caso, ¿cuál es la diferencia entre esa y tres raíces globales, o incluso 172 CA raíz?
La raíz global es el propietario de la computadora.
Ellos deciden en qué raíces son confiables, o en la práctica, aceptan el criterio del proveedor y posiblemente agreguen algunos de los suyos.
Pero también pueden eliminar elementos de la lista de proveedores; muchos administradores, incluido yo, dejaron de diginotar, por ejemplo, a pesar de que MS los retuvo.
Si está en una red, sus administradores (quizás usted sea usted, ya que está leyendo S.SE) también pueden ejercer su propio criterio. ¿Quiero que mis usuarios confíen en una CA brasileña o ucraniana? Pueden estar bien, pero a) ¿cómo sé yb) por qué mis usuarios están en un sitio web de Ucrania o Brasil por motivos de trabajo? ¿Alguna vez hacemos negocios en esos países?
El último controlador es el administrador de la computadora, no el Gobierno Mundial, no Microsoft, Google, el Comisario de FireFox o cualquier otra persona.
Lea otras preguntas en las etiquetas tls certificates certificate-authority dns