¿Qué puedo hacer para confiar menos en las autoridades de certificación?

Lamentablemente, esto no hará nada para solucionar el problema, e incluso podría empeorar las cosas para usted si no configura las cosas correctamente.

Los certificados están diseñados para garantizar que la clave pública con la que está cifrada la conexión pertenece al servidor al que intenta conectarse. Lo hace mediante el uso de una firma de una autoridad de certificación de terceros en la que su navegador ya confía. Básicamente es una declaración firmada de la CA que dice "hemos verificado que esta clave pública pertenece a este sitio web".

Si le dice a su navegador "hey, ya no confíe en esas autoridades de certificación, solo confíe en los certificados del proxy / CA personalizados que configuraré", lo hará, pero entonces la pregunta es: "cómo ¿Esta nueva CA decide qué claves públicas pertenecen a qué sitios web "? No has resuelto el problema, solo lo has movido. Además, si su CA personalizada no se implementa correctamente, podría abrirlo a otras vulnerabilidades (por ejemplo, emitiendo certificados cuando no debería, o engañando a su navegador para que piense que una conexión está encriptada cuando realmente no lo está).

Desafortunadamente, hasta que alguien encuentre una mejor manera para que los sitios web distribuyan sus claves públicas de manera segura y verificable, nos quedamos atascados con CA y X.509 infraestructura de clave pública.

En mi humilde opinión se te escapa la idea de CA. Tiene certificados raíz de su computadora / navegador y como CA emite un certificado al banco, por ejemplo, firman esta clave pública con su propia clave y con sus certificados raíz puede verificar la validez del certificado bancario. Si crea su propia CA y emite un certificado al banco, cómo piensa hacer que instalen su certificado. Además, un servidor web solo puede usar un certificado en un momento particular
Incluso si configura alguna infraestructura MiTM, debería haber al menos uno (MiTM) que confíe en esos certificados bancarios (existentes)

  

¿Puedo asumir que si MITM y los sitios que me importan con mis propios certificados les haré imposible a los demás lo mismo para mí?

De hecho, probablemente sea más fácil que antes para otros usuarios de MITM. Como no confía en el sistema de CA existente, asumo que no desea usarlo para verificar el certificado de los sitios antes de realizar un MITM por sí mismo. Debido a esto, cualquiera puede hacer otro MITM delante de usted y simplemente aceptará el certificado no válido.

Si realmente no confías en los CA, puedes simplemente eliminarlos todos y luego recibirás una advertencia por cada sitio https al que quieras acceder. A continuación, obtendrá agregar este certificado específico como de confianza. Por supuesto, solo debe confiar en este certificado una vez que haya verificado que es el certificado correcto y que no esté siendo atacado por un intermediario ya. Ya que no confía en ninguna CA, necesita alguna forma fuera del sistema de CA para verificar la exactitud del certificado, lo que probablemente sea difícil de hacer.

Una mejor manera podría ser no abandonar el sistema de CA completamente, sino aumentarlo con herramientas como la Patrulla de Certificados.