Estoy usando OpenBSD con un navegador llamado Xombrero que no tiene certificados SSL de forma predeterminada. ¿Debo obtener los certificados del archivo /etc/ssl/certs.pem?
(p. ej .: no confío en OCSP y no confío en que mi navegador web se actualice automáticamente, si es que hubiera alguno, por lo que los certificados no se actualizan)
Pregunta : ¿existen prácticas recomendadas para obtener una lista de los certificados de CA confiables?
En cualquier caso, OCSP no se trata de decirle en quién debe confiar; A OCSP solo le preocupa la revocación . Cuando un servidor OCSP envía una respuesta que dice que un certificado dado es "bueno", este es un nombre inapropiado; realmente significa "no hay un certificado revocado conocido con ese número de serie". OCSP no garantiza que el certificado de destino exista en absoluto, y mucho menos que sea "confiable".
Dicho esto, la lista de CA confiables es, de hecho, la lista de confiada CA. ¿Declarará que confiará en alguna CA porque encontró alguna lista en alguna página web que le dice que "confiará en estas CA" y que esa página web fue señalada por "alguien en Internet" (que no muestra ninguna su nombre real, ni su cara real)?
Si realmente quiere entregar su seguridad al consejo de un extraño al azar, sea un oso, al menos puede aplicar un juicio personal y decidir, según la CA, si lo quiere o no. Como punto de partida , puede comenzar copiando la "CA de confianza" de otro navegador web, por ejemplo, Internet Explorer o Firefox. La CA de IE es la CA que Microsoft, en su sabiduría infinita, declaró apta para ser de confianza para el público en general (la lista y los fundamentos sobre por qué estas CA son "confiables" se pueden encontrar en ); es posible que desee podar esa lista un poco. Sin embargo, como la cuota de mercado de Windows es lo que es, está bastante garantizado que cualquier sitio web HTTPS que "funcione" tendrá un certificado emitido directa o indirectamente por una de estas CA.
(Dado que la lista de CA de Microsoft contiene una cantidad de "CA de gobierno" que se agregaron porque los gobiernos son, por regla general, narcisistas, pero en realidad no se utilizan , la lista se puede eliminar considerablemente sin interrumpir sustancialmente la navegación web. Puede haber alrededor de una docena de CA raíz de uso común.)