¿Cómo puedo verificar que un certificado raíz es auténtico?

Navega tus respuestas
8

Descubrí que mi PC doméstica (Windows 10) tiene actualmente 39 certificados raíz instalados.

Mientras me desplazo por la lista que he notado:

  1. Nombres que parecen familiares (por ejemplo, Thawte / VeriSign)
  2. Nombres que no me son familiares (por ejemplo, Startcom / Entrust)
  3. Fechas de caducidad en el futuro (por ejemplo, 2020-12-31 / 2030-01-01)
  4. Fechas de caducidad en el pasado (por ejemplo, 1999-12-31 / 2004-01-08)

Todo esto un poco preocupante y me gustaría hacer más para controlar la situación. Para empezar, me gustaría confirmar su legitimidad.

¿Cómo puedo verificar que un certificado raíz es auténtico?

    
pregunta Kelly Thomas 11.11.2015 - 15:37
fuente

2 respuestas

3

Esto suele ser normal debido a cómo los sistemas operativos publican certificados raíz. Es probable que vea la superposición entre el certificado raíz de una entidad emisora de certificados, ya que caduca y está "cubierto" por un nuevo certificado de la misma entidad emisora de certificados. Sin embargo, es bueno para ti por no confiar ciegamente.

La mayoría de las autoridades de certificación públicas publican información de huellas digitales sobre sus certificados raíz. Puede buscarlos de CA a CA y verificar que el certificado que ve en su almacén de confianza raíz coincida con las huellas digitales que publican. Por ejemplo, Thawte publica en enlace .

Cada CA tendrá una política diferente sobre cómo publican esta información, pero debería ser fácil de localizar y verificar con sus propios ojos.

    
respondido por el Jeff Stice-Hall 11.11.2015 - 16:33
fuente
4
  

¿Cómo puedo verificar que un certificado raíz es auténtico?

La autenticidad se puede verificar si busca la huella digital en línea y encuentra el certificado donde lo esperaría. Pero esto no es infalible porque podría ser un sitio falso que se ve bien y tiene un nombre de host confiable. En cualquier caso, no conoce personalmente a la parte y la autenticidad no significa que se pueda confiar en la parte.

Al final, debe confiar en el proveedor de su sistema operativo o navegador que está haciendo lo correcto, porque efectivamente no tiene manera de verificarlo realmente. Pero este tipo de confianza no es infrecuente, es decir, confía en su supermercado que la comida es comestible y no está vencida o envenenada, confía en su gasolinera que la gasolina no es peligrosa para su automóvil ... es decir, ya confía en otros. temas de seguridad. Y espera que si esta confianza ya no está justificada, se le notificará de alguna manera.

La confianza puede ir mal, como se puede ver en el asunto Superfish , en el que uno confiaba en que el proveedor (Lenovo) enviara un Computadora confiable. Pero esta computadora contenía un software para inyectar anuncios y, además, el software instaló su propio certificado raíz para las conexiones de intermediarios con el fin de inyectar anuncios en el tráfico https también. Este certificado fue definitivamente auténtico, pero la mayoría de la gente no lo consideraría confiable.

    
respondido por el Steffen Ullrich 11.11.2015 - 16:34
fuente

Lea otras preguntas en las etiquetas

¿Se requiere el cumplimiento de PCI-DSS con los botones de Donar / Pago de PayPal en los sitios web? ¿Se usan los archivos .zip como un moderno vector de ataque?