Internet Explorer - Propiedades avanzadas para certificados raíz de confianza

2

Si vas a IE - > Opciones de Internet - > Contenido - > Certificados - > Autoridades de certificación de raíz de confianza.

Ahora haga clic en algunos certificados de CA y haga clic en Avanzado

Puedes agregar propiedades al certificado. ¿Para qué es exactamente esto?

¿Esto significa que si un certificado no tiene la propiedad 'Autenticación del servidor', el cliente todavía puede autorizarlo para ese propósito si decide hacerlo?

¿Se trata de un problema de seguridad, es decir, puede escribir un control ActiveX o un applet en el que, si un usuario hace clic, activará esta propiedad?

    
pregunta user93353 23.07.2015 - 13:12
fuente

2 respuestas

3

No. El cuadro de diálogo no agrega estas propiedades a certificados . No tiene nada que ver con el elemento seleccionado actualmente, simplemente los agrega al cuadro de lista filtro por propiedad en la parte superior de la ventana principal. (Ese es el que dice "Propósito previsto: < todos >".)

(El nombre más específico es un "propósito del certificado", y el nombre técnico es extendedKeyUsage aka EKU.)

Básicamente, si marca "Autent del cliente" aquí, puede filtrar fácilmente la lista de certificados solo para aquellos que tienen este uso permitido.

Pero

Sin embargo, puede encontrar una lista muy similar en el cuadro de diálogo de información de certificados individuales, debajo del botón Ver. Esto permite eliminar usos específicos, o - I pensar - añadiendo nuevos.

Por ejemplo, si tiene un certificado con fines de "correo electrónico" y "autenticación de cliente", pero solo lo usa para correo electrónico, puede usarlo para evitar el desorden cada vez que su navegador le pide que elija un certificado de autenticación de cliente.

Supongo que esto podría usarse para confiar en certificados de servidor que carecen del propósito de "autenticación de servidor", aunque sería algo incompetente para un servidor incluso usar un certificado de este tipo ...

    
respondido por el grawity 23.07.2015 - 21:27
fuente
1

Es bueno que no todas las propiedades estén verificadas de forma predeterminada porque la confianza no debería estar habilitada de forma predeterminada.

Como dice la documentación de Microsoft , el propósito de esa propiedad es:

  

Certificados que los programas de servidor utilizan para autenticarse a sí mismos   clientes.

Sí, no solo el servidor debe confiar en el cliente, sino que el cliente también puede solicitar que el servidor se identifique.

Eso es para la primera parte de tu pregunta. Ahora preguntas:

  

¿Puede escribir un control ActiveX o un applet en el que si un usuario   Clics, ¿activará esta propiedad?

No. Eso solo significa que usted solicita una computadora remota (servidor en este caso) para probar su identidad. Las aplicaciones que desarrolle pueden ser certificadas como suyas solo si las firma usted mismo como cuando desarrolla una aplicación en Android y necesita emitir una clave privada en firma automáticamente sus aplicaciones sin necesidad de una autoridad de certificación pública.

    
respondido por el user45139 23.07.2015 - 15:07
fuente