¿Internet Explorer maneja la Validación extendida correctamente?

Navega tus respuestas
2

Estoy leyendo sobre certificados de Validación ampliada (EV) y tengo algunas preguntas. Por lo que entiendo, EV permite a los propietarios de dominios pagar extra por un certificado especialmente confiable (que el navegador respetará las propiedades de visualización especiales) y requiere que las CA realicen pasos adicionales para verificar que los certificados emitidos son válidos. La documentación de Microsoft dice que los administradores de dominio pueden agregar certificados a Internet Explorer que les gustaría ver. como EV (útil para aplicaciones internas). Mi pregunta es, si pueden manipular la lista de EV en Internet Explorer, ¿qué impide que el administrador de mi dominio haga lo mismo que ¿Estos chicos y que compran un certificado raíz subordinado para algún sitio externo y lo agregan a mi navegador IE como un certificado EV?

Segunda pregunta: en Firefox, por ejemplo, la lista de certificados con estado EV está "incrustada" en el navegador. Si hago una compilación personalizada de Firefox, ¿puedo manipular esta lista incrustada?

    
pregunta San Jacinto 20.11.2013 - 22:50
fuente

1 respuesta

3

Eso es simple: en un entorno de dominio de Windows, los administradores de dominio tienen la capacidad de hacer lo que quieran con su máquina. En cierto sentido, su máquina es más su máquina que la suya.

Eso incluye, por supuesto, manipular el almacén de certificados para agregar (o denegar) cualquier tipo de relación de confianza que quieran.

Es decir, para usar el giro habitual de la frase, una característica y no un error.

Ahora, la verdadera pregunta es, por supuesto, "¿cómo me protejo de un administrador deshonesto?" (o tal vez "¿quién vigila a los vigilantes?"). Ese es difícil de responder (pregúntale a la NSA).

La forma más sencilla es simplemente no permitir que nadie con quien no se pueda confiar con la contraseña del administrador del dominio. En tiendas pequeñas, eso podría significar que solo el propietario del dominio conoce la contraseña del administrador del dominio. Por lo general, también está controlado por contratos y reglas internas que establecen quién tiene permiso para hacer qué, cómo y bajo qué tipo de supervisión.

En cualquier caso, ese es un problema que no debe abordarse por medios tecnológicos, al menos hasta que esté 100% seguro de que lo necesita porque las formas de mejorar la situación a través de limitaciones técnicas son engorrosas, caras y lejos de 100% eficiente.

    
respondido por el Stephane 21.11.2013 - 09:19
fuente

Lea otras preguntas en las etiquetas

¿Existe un identificador difícil de falsificar asociado a un disco duro físico? ¿Riesgos y métodos de prevención asociados con el marcado o la reducción de votos?