¿Realmente necesito todas estas Autoridades de Certificación en mi navegador o en mi llavero?

14

Hay muchas Autoridades de Certificación de aspecto extraño en mi llavero, así como en Firefox. Estoy seguro de que son CA legítimas (ya que son las mismas en mi Mac, PC y otras computadoras que revisé). Y por extraño me refiero a que parecen ser específicos para otros países u organizaciones con los que estoy seguro de que no tengo nada que ver, ¿hay alguna forma de eliminar de forma segura estas CA innecesarias? ¿Hay una lista para usuarios regulares de EE. UU. O una forma de deshabilitarlos y habilitarlos cuando sean necesarios?

    
pregunta Ali 13.09.2011 - 01:49
fuente

4 respuestas

16

La web es mundial. Que usted sea un "usuario estadounidense" no significa que solo verá los sitios web de EE. UU.

Puede eliminar cualquier certificado de CA en el que no desee confiar. Esa es tu prerrogativa. La única consecuencia de eliminar un certificado de CA es que la máquina dejará de aceptar automáticamente como válido cualquier certificado emitido por dicha CA. Traducción: es posible que algunos sitios web HTTPS comiencen a activar advertencias de miedo, que siempre se pueden omitir, pero que, sin embargo, son aterradoras (y entrenarse para evitar las advertencias de miedo no sería una buena idea).

La verdad es que, como usuario, tiene muy poca información en la que podría basar su decisión de confiar o no confiar en cualquier CA en particular. Idealmente, solo confiaría en aquellas CA para las cuales puede establecer un camino de responsabilidad claro: la CA que le dará mucho dinero en caso de ser estafado debido a un error cometido por la CA. Sin embargo, no existe tal CA. En su lugar, lo que tiene es una lista de "CA predeterminada" que hizo un trato con el proveedor del sistema operativo (Apple, en el caso de Mac OS) para que el proveedor del sistema operativo acepte incluirlos como "CA predeterminada". Estas CA, y Apple, son demasiado inteligentes, legalmente hablando, para darle dinero en caso de algún problema (como usuario de Mac, su relación de dinero con Apple más bien fluye en la otra dirección). Sin embargo, si uno de los "CA predeterminados" comienza a comportarse de manera incorrecta, está en juego la imagen pública de Apple.

Así que mi consejo sería dejar las cosas como están. Esto es lo que casi todo el mundo hace. Recuerde que, en cualquier caso, el objetivo de la CA es validar el certificado, lo que no significa que el sitio correspondiente es mantenido por personas honestas y confiables; Lo único que garantiza la CA es que la página web que está viendo realmente proviene del sitio web cuyo nombre se encuentra en la barra de URL.

    
respondido por el Thomas Pornin 13.09.2011 - 02:31
fuente
2

No los necesitas: es solo un habbit legado. Eche un vistazo a Perspectivas del proyecto

    
respondido por el Alexey Vesnin 14.02.2016 - 03:24
fuente
1

El conjunto de conexiones https que encontrará se divide en dos subconjuntos:

  • Aquellos que le interesan: sitios financieros, correo electrónico, trabajo, almacenamiento en la nube para sus copias de seguridad ... cualquier sitio donde una conexión comprometida le cueste dinero, datos, tiempo, agravación, compromiso de otros sitios (la razón principal por la que el correo electrónico está en la lista - restablece la contraseña), etc.
  • Aquellos que no te interesan: la mayoría de los sitios que existen, donde la seguridad no es un problema y que pueden usar fácilmente el http simple para todo lo que te importa.

Para aquellos que te interesan, puedes hacer clic en el ícono del candado en la barra de direcciones y ver qué CA está certificando esta conexión. Incluso puede profundizar en los algoritmos utilizados, las fechas de los certificados y muchos otros detalles, si está interesado.

Para aquellos que no te importan, bueno, ¡no te importan! Sesión ha sido secuestrada? ¿Alguna AC controlada por un gobierno desagradable te está molestando? ¿Y qué? No hay ningún problema de seguridad y no importa.

Así que realmente no importa si todas esas CA están ahí. Cuando cuenta, puede asegurarse fácilmente de que su conexión está certificada por una CA en la que confía. La presencia de todos esos otros es irrelevante.

    
respondido por el Tom Zych 14.02.2016 - 01:47
fuente
0

Tiene suerte si puede identificar qué CA puede desactivar o desactivar. En su mayoría, dejarlo como está, es la mejor manera de evitar cualquier problema innecesario que pueda encontrar en el futuro si deshabilita alguna CA.

Si está preocupado por algún virus o similar, mejore o obtenga un buen antivirus.

    
respondido por el Jesse 24.12.2015 - 15:49
fuente

Lea otras preguntas en las etiquetas