¿Existe un sitio web u otro recurso que enumere los sistemas operativos / plataformas y los certificados raíz incluidos?

2

Necesito elegir una autoridad de certificación (CA) para obtener un certificado, pero noté que hay varios de estos solo presentes en algunos sistemas operativos / plataformas como Windows. Necesito elegir uno que esté presente también en Linux (cuantas más distribuciones sea la mejor) y mac.

¿Existe tal lista / recurso?

    
pregunta nsn 19.06.2014 - 12:03
fuente

2 respuestas

2

En Windows, las CA normalmente están centralizadas en el sistema operativo, en el almacén de "CA confiable". Microsoft administra los contenidos predeterminados para esta tienda, y lo hacen siguiendo un "programa de administración" explícito. Puede encontrar la lista de CA there .

Apple también ejecuta un programa similar y documenta el lista de CA raíz en la que un nuevo OS X confiará de forma predeterminada. Por supuesto, cualquier usuario es libre de modificar la lista, aunque la mayoría de los usuarios mantendrán los valores predeterminados.

Sin embargo, cualquier navegador es libre de usar la lista de sistemas operativos o de usar la suya propia. En Windows, Chrome e IE seguirán la lista provista por el SO; en OS X, Safari y Chrome también seguirán la lista provista por el SO. Firefox, por otro lado, tiene su propia lista (y, de hecho, su propia implementación SSL). La lista de CA raíz incluida en Firefox por defecto está disponible en esta página . Esa lista se aplica a todas las plataformas en las que se ejecuta Firefox.

En Linux, no hay una lista real de certificados de confianza provistos por el SO (bueno, hay hay certificados de CA raíz en /etc/ssl/certs/ , pero no está claro si realmente son "confiables", o simplemente "conocido", o qué aplicaciones utilizan estas CA). En cualquier caso, Firefox en Linux todavía sigue su lista interna; Chromium (en Linux) está documentado en usar la lista de Firefox (específicamente, para usar la misma lista predeterminada como Firefox; los cambios locales en Firefox no afectan a Chromium, ni viceversa).

Parece que el navegador web Opera ahora usa la lista de Firefox (se basa en la biblioteca NSS que maneja SSL para Firefox), por lo que debe considerarse similar a Firefox (en ese sentido) en todas las plataformas.

Entonces, para una buena interoperabilidad, debes elegir una CA que esté en las listas de Microsoft, Apple y Mozilla / Firefox. La mayoría de los usuarios reconocerá automáticamente una CA raíz incluida en las tres listas.

No conozco ninguna página mantenida en ningún lugar que agregue estas listas separadas en una vista sintética. La palabra operativa aquí es "mantenida".

Una complicación adicional es que hay dos tipos de CA raíz: la CA "normal" y la CA "Calificada para EV". Los últimos afirman ser más completos en su verificación de identidad; Las consecuencias prácticas son que sus certificados son más caros, y el ícono del candado será verde (o "resaltado de manera similar") en lugar de gris. Esta distinción ha atraído algunas críticas; p.ej. Peter Gutmann afirma que los certificados EV son un truco para aumentar los precios de los certificados con poco beneficio de seguridad ya que No solucione un problema de seguridad que realmente existió en primer lugar. Sin embargo, existen. Si desea el candado verde, necesitará una CA raíz que sea reconocida como "EV-Qualified" por los principales navegadores. Puede comenzar con la lista de la página de Wikipedia .

    
respondido por el Thomas Pornin 19.06.2014 - 15:07
fuente
0

Veo en la etiqueta que mencionas Java. La tecnología que utiliza hace una gran diferencia en lo que las tiendas de certificados cuestionan. Como dice Thomas, es un juego de pelota completamente diferente para los navegadores web.

Si se está centrando en la implementación de Sun / Oracle Java, debería obtener el mismo archivo cabundle. Dicho esto, deberías poder elegir uno de esa lista.

    
respondido por el Tim Brigham 19.06.2014 - 15:23
fuente

Lea otras preguntas en las etiquetas