¿Cómo determinar qué certificados de navegador se pueden volver a habilitar por caso?

Navega tus respuestas
1

Teniendo en cuenta que no hay forma de "en realidad ver qué certificados uso en mis sitios web visitados regularmente, he decidido desactivar todos los certificados y volver a habilitarlos caso por caso. Esto es para el doble objetivo de aumentar la seguridad y también para familiarizarme con en qué CA confían . Si Centro de información de red de Internet de China de repente firma mi cadena de certificados a Gmail, ¡me gustaría saberlo! Firefox, tal como lo envió Ubuntu, de hecho viene con ese certificado CNNIC preinstalado.

Ahora que deshabilité todas las CA, cuando intento conectarme a https://example.com Firefox me informa correctamente que la conexión no es de confianza. Sin embargo, no veo ninguna manera de ver el certificado para determinar qué CA volver a habilitar. Cuando los certificados están habilitados, se puede hacer clic en Firefox Bloquear Haga clic en el icono y vea el certificado, pero con la CA utilizada por el certificado desactivado, parece que hay una manera de verlo. Estoy seguro de que podría escribir Python y Curl en revelar los detalles del certificado pero preferiría algo desde dentro de Firefox. ¿Firefox tiene una forma de mostrarle a los usuarios certificados que no tienen una CA correspondiente habilitada? Parece que es una supervisión evidente si no la tiene.

En la siguiente captura de pantalla se puede ver que la sección I Understand the Risks para abrir el Visor de certificados no está disponible para certificados cuya CA raíz está deshabilitada:

TLDR: ¿Cómo ver el nombre de la CA raíz (que necesito volver a habilitar) de un certificado que Firefox no reconoce, desde dentro de Firefox?

    
pregunta dotancohen 02.12.2015 - 13:35
fuente

1 respuesta

5

AIA persiguiendo?

  

TLDR: ¿Cómo ver la CA raíz de un certificado que Firefox no reconoce, desde dentro de Firefox?

No puedes ver directamente la CA raíz. Pero es posible que puedas ver la CA inmediatamente superior.

Algunos certificados (¿todos?) tienen un campo Acceso a información de autoridad que permite que un certificado responda a la pregunta ¿Quién es tu papá? .

(Para acceder a la ventana de Visor de certificados , navega de esta forma: I Understand the Risks | Add Exception... | View... | Details )

Enelcasodeexample.comesesto: enlace

Las 15 CA raíz principales para comenzar

Aquí están las las 15 CA principales de una exploración del Alexa Top 1 Million ( 2015-10 por Hubert Kario): 

Root CAs                                      Count     Percent
---------------------------------------------+---------+-------
(d6325660) COMODO RSA Certification Authority 113492    20.662
(2c543cd1) GeoTrust Global CA                 107601    19.5895
(eed8c118) COMODO ECC Certification Authority 48977     8.9166
(cbf06781) Go Daddy Root Certificate Authorit 47939     8.7276
(5ad8a5d6) GlobalSign Root CA                 44123     8.0329
(b204d74a) VeriSign Class 3 Public Primary Ce 29359     5.345
(244b5494) DigiCert High Assurance EV Root CA 25999     4.7333
(2e4eed3c) thawte Primary Root CA             23372     4.255
(157753a5) AddTrust External CA Root          20188     3.6754
(653b494a) Baltimore CyberTrust Root          12053     2.1943
(ae8153b9) StartCom Certification Authority   9139      1.6638
(fc5a8f99) USERTrust RSA Certification Author 8775      1.5975
(3513523f) DigiCert Global Root CA            8281      1.5076
(4bfab552) Starfield Root Certificate Authori 8226      1.4976
(480720ec) GeoTrust Primary Certification Aut 5570      1.0141

Misceláneo

¿Complemento de patrulla de certificado?

¿Has probado el complemento Patrulla de certificados de Firefox? Parece tu callejón.

EDIT2015-12-03: ¿Por qué esto no funciona en Wikipedia? HSTS!

Supongo que esto no funciona para Wikipedia, porque wikipedia.org HSTS está precargado en Firefox (archivado aquí ).

Y falta el botón "Entiendo los riesgos" porque para errores de HSTS a La regla "sin recurso de usuario" se aplica. Esto es por diseño.

    
respondido por el StackzOfZtuff 02.12.2015 - 15:08
fuente

Lea otras preguntas en las etiquetas

¿Qué se consideraría típicamente una entropía de cadena aceptable para las contraseñas? ¿Los ataques de intermediarios pueden afectar a cualquier persona que no esté conectada a la red de atacantes?