¿Confiar o no confiar? Adición de excepciones a la lista de certificados de confianza en (firefox) Light

Question

¿Confiar o no confiar? Adición de excepciones a la lista de certificados de confianza en (firefox) Light

#1 de JesseM (1 votos)
#2 de Omer Iqbal (0 votos)

2

Recientemente instalé Light (una bifurcación más compacta de Firefox).

Comencé a recibir el error "Esta conexión no es confiable", lo que me hizo preguntarme: ¿cuándo debería agregar una excepción a la lista de certificados de confianza? Sí, esto llega al tema de la confianza, y ese es un problema enorme en sí mismo. Pero supongamos que me siento cómodo confiando en los certificados que venían incluidos en mi navegador (ya sea Firefox, Light o IE)

En mi caso, el error es (Código de error: sec_error_unknown_issuer). Debe ser que Light no tenga la lista completa de autoridades de confianza que tiene Firefox completo.

Puedo ver el certificado en cuestión y puedo ver el nombre del emisor del certificado (en mi caso, Starfield Secure Certificate Authority - G2). Y sí, si voy a la gran , puedo ver nombres similares allí (Autoridad de certificación raíz de Starfield Services - G2 y Autoridad de certificación raíz de Starfield - G2), aunque no es una coincidencia exacta.

Pero imagino que no es suficiente: no es una coincidencia exacta. Pero vayamos más lejos: supongamos que el nombre del emisor es una combinación perfecta. Presumiblemente, si un sitio web intenta robar mi información, o ejecuta un código malicioso en mi navegador, será lo suficientemente inteligente como para falsificar el nombre de un proveedor de certificados de confianza. ¿Qué hay en el certificado en sí mismo que debo verificar para asegurarme de que el certificado que se me presenta es auténtico y no hay ningún bozo en algún lugar que simule un certificado de confianza? Y, ¿hay alguna manera de obtener ese certificado auténtico de la boca del caballo, por así decirlo, en lugar de hacerlo desde la página web que estoy intentando explorar?

user-education certificates

pregunta ltcomdata 14.11.2014 - 02:57

fuente

2 respuestas

Lea otras preguntas en las etiquetas user-education certificates

¿Puede almacenar configuraciones de aplicaciones confidenciales en el entorno y ser compatible con PCI? Nmap desde Kali Linux y desde la instancia de Amazon EC2: resultados muy diferentes

score 1 · Answer 1

La pregunta es, suponiendo que haya decidido en qué CA (Autoridades de Certificación) confiar, cómo obtiene sus certificados. Si confía en "Starfield Services Root Certificate Authority - G2" y desea saber si debe confiar en la hipotética "" Starfield Services Root Certificate Authority - G3 "(por ejemplo), do tiene que" sácalo de la boca del caballo "como lo pones.

Hay algunas opciones ... Lo más fácil es que, si Starfield le ayuda a "arrancar" su propia confianza. Si "CA de Starfield (confiable)" firmó el certificado "CA de Starfield (nueva)", entonces podría confiar en que es auténtico.

Si no, necesita obtener la clave pública de Starfield de alguna manera que le haga confiar en que realmente es de ellos, luego úselo para verificar la firma / huella digital en el nuevo certificado CA que han emitido.

Desde un punto de vista práctico, si confía en que algún navegador haya hecho el trabajo por usted, puede obtener el certificado de CA confiable de su almacén de confianza.

En última instancia, usted elige qué CA confía en su trabajo de afirmar la legitimidad de otros sitios web. Usted hace esa elección por su elección de certificados de CA en su almacén de confianza, o deja que su navegador elegido haga esa elección por usted. Si SuspiciousWebsite (tm) le presenta algo firmado por LegitimateSoundingCAYouDontHave, es cuando debe decidir si confía o no en CA. Nunca aceptaría un certificado de CA desconocido ofrecido por algún sitio web. Obtenga el certificado raíz de otro almacén de confianza de otro navegador o directamente de la entidad de CA.

Una vez que haya aceptado un certificado de CA, confía en todo lo que certifique. Si dejas que un certificado CA falso de un chico malo ingrese, ese hombre malo puede falsificar trivialmente tu banco o cualquier otro sitio.

score 0 · Answer 2

Por lo general, desearía comparar la "huella digital" de los certificados. Eso es lo que se usa en el código al evaluar si el certificado que se presenta coincide con un certificado existente en un repositorio de certificados incluidos en la lista blanca.

Usando este mecanismo, normalmente querrá confiar en el certificado de la autoridad para que el navegador también confíe en cualquier certificado emitido por esa autoridad, subiendo la cadena de certificados y verificando la raíz. Espero que esto responda a tu pregunta.