Cómo confiar en la CA raíz

6

Cuando descargo un navegador como Mozilla, viene con varios certificados raíz.

¿Cómo confío en que estos certificados son legítimos? ¿Cómo sé que mi descarga no contiene algunos certificados de raíz falsos?

Sé que el software mismo pasará por una verificación de integridad durante la descarga (lo que descarta cualquier manipulación), sin embargo, la verificación de integridad se basa en que mi navegador existente confíe en el navegador que se está utilizando para descargar Mozilla a través de HTTPS. Básicamente, la descarga de Mozilla se basa en algún otro certificado raíz requerido en algún lugar durante el proceso de descarga. Parece ser un problema recursivo.

Entonces, mi pregunta es ¿cómo puedo confiar en el certificado raíz integrado en mi navegador?

    
pregunta Minaj 23.07.2016 - 02:04
fuente

2 respuestas

2

En primer lugar, tienes razón, es un problema recursivo. SSL es una especie de castillo de naipes porque siempre tienes que confiar en algo, incluida la gente que te dice en quién confiar. Varios expertos han predicho el colapso de SSL:

Colapso de seguridad en el mercado de HTTPS

El cifrado SSL / TLS y la estafa de lote vacante: demasiado grande para fallar

¿Cómo se rompe el SSL irremediablemente? Vamos a contar las formas

SSL y el futuro de la autenticidad

Dicho esto, es todo lo que tenemos por ahora, por lo que el pánico no ayudará.

Si le preocupa que el programa que acaba de descargar también haya instalado algunos certificados de raíz maliciosos, hay escáneres disponibles para verificarlos, como this y this (Nota: No puedo recomendar ninguno de estos porque no los he probado, así que investigue).

O, si desea escanearlos manualmente, a lista bastante buena es mantenido por Programa de Certificados de Raíz de Confianza .

    
respondido por el John Wu 23.07.2016 - 02:37
fuente
-2

Todos los paquetes del instalador del sistema operativo están firmados. En Windows, por ejemplo, cuando descarga el apéndice del instalador de Firefox, puede verificar sus propiedades haciendo clic derecho en el archivo exe y yendo a la pestaña "Firma":

Luego,hagaclicen"Detalles" para ver más, verá "Información del firmante" y lo que sea "OK" que se verifica con los certificados incorporados de Windows.

Finalmente,compruebeelcertificadoraízdetodalacadenabuscandoenGooglelahuelladigitaldelcertificadoraíz:

Asíqueenresumen:

  1. Compruebesielnombredelfirmantees"Mozilla Corporation"
  2. Comprueba si la firma digital es "OK"
  3. Comprueba si el certificado raíz está bien

Parece que el certificado raíz binario de Firefox en la cadena es esto: enlace - hay huella digital coincidente "05: 63: B8: 63: 0D: 62: D7: 5A: BB: C8: AB: 1E: 4B: DF: B5: A8: 99: B2: 4D: 43 ".

Del mismo modo, puede comprobar todos los certificados raíz si tiene dudas.

    
respondido por el Aria 23.07.2016 - 03:01
fuente

Lea otras preguntas en las etiquetas