¿Cómo puedo verificar que un certificado raíz es auténtico?
La autenticidad se puede verificar si busca la huella digital en línea y encuentra el certificado donde lo esperaría. Pero esto no es infalible porque podría ser un sitio falso que se ve bien y tiene un nombre de host confiable. En cualquier caso, no conoce personalmente a la parte y la autenticidad no significa que se pueda confiar en la parte.
Al final, debe confiar en el proveedor de su sistema operativo o navegador que está haciendo lo correcto, porque efectivamente no tiene manera de verificarlo realmente. Pero este tipo de confianza no es infrecuente, es decir, confía en su supermercado que la comida es comestible y no está vencida o envenenada, confía en su gasolinera que la gasolina no es peligrosa para su automóvil ... es decir, ya confía en otros. temas de seguridad. Y espera que si esta confianza ya no está justificada, se le notificará de alguna manera.
La confianza puede ir mal, como se puede ver en el asunto Superfish , en el que uno confiaba en que el proveedor (Lenovo) enviara un Computadora confiable. Pero esta computadora contenía un software para inyectar anuncios y, además, el software instaló su propio certificado raíz para las conexiones de intermediarios con el fin de inyectar anuncios en el tráfico https también. Este certificado fue definitivamente auténtico, pero la mayoría de la gente no lo consideraría confiable.