it-swarm-tr.com

Gerçekten tüm bu Sertifika Yetkililerine tarayıcımda veya anahtarlıkta ihtiyacım var mı?

Anahtarlıkta ve Firefox'ta çok sayıda garip görünümlü Sertifika Yetkilisi var. Ben yasal CA'lar (Mac ve PC ve kontrol ettiğim diğer bilgisayarlarda aynı oldukları gibi) eminim. Ve garip olarak, diğer hiçbir şeyle ilgili olmadığımdan emin olduğum aynı diğer ülkelere veya organizasyonlara özgü gibi görünüyorlar, bu gereksiz CA'ları güvenli bir şekilde kaldırmanın bir yolu var mı? Normal ABD kullanıcıları için bir liste veya bunları devre dışı bırakmanın ve gerektiğinde etkinleştirmenin bir yolu var mı?

14
Ali

Web dünya çapında. "ABD kullanıcısı" olduğunuz, yalnızca ABD web sitelerine bakacağınız anlamına gelmez.

Güvenmek istemediğiniz CA sertifikalarını kaldırabilirsiniz. Bu senin ayrıcalığın. Bir CA sertifikasını kaldırmanın tek sonucu, makinenin söz konusu CA tarafından verilen herhangi bir sertifikayı otomatik olarak geçerli olarak kabul etmeyi bırakmasıdır. Çeviri: Bazı HTTPS Web siteleri her zaman atlayabileceğiniz, ancak yine de korkutucu olan korkutucu uyarıları tetiklemeye başlayabilir (ve korkutucu uyarıları atlamak için kendinizi eğitmek zaten iyi bir fikir olmayabilir).

Gerçek şu ki, bir kullanıcı olarak, belirli bir CA'ya güvenme veya güvenmeme kararınızı dayandırabileceğiniz çok az bilgiye sahip olursunuz. İdeal olarak, yalnızca size açık bir sorumluluk yolu oluşturabileceğiniz CA'ya güvenirsiniz: CA tarafından yapılan bir hata nedeniyle dolandırıldığınızda size çok para verecek olan CA. Ancak, böyle bir CA yoktur. Bunun yerine, OS satıcısının "varsayılan CA" olarak dahil etmeyi kabul etmesi için, OS satıcısıyla (Mac OS'de Apple) bir anlaşma yapan "varsayılan CA" nın bir listesidir. Bu CA ve Apple, yasal olarak, herhangi bir sorun durumunda size para veremeyecek kadar akıllıdır (Mac kullanıcısı olarak, Apple yerine diğer yöne akar) Yine de, "varsayılan CA" 'dan biri yanlış davranmaya başlarsa, bu Apple söz konusu olan herkese açık görüntü).

Bu yüzden tavsiyem, şeyleri oldukları gibi bırakmaktır. Neredeyse herkes bunu yapıyor. Her durumda, CA'nın amacının sertifikayı doğrulamak olduğunu unutmayın; bu da değil ilgili sitenin dürüst ve güvenilir kişiler tarafından korunduğunu ifade eder; CA'nın garanti ettiği tek şey, baktığınız Web sayfasının gerçekten adı URL çubuğundaki Web sitesinden gelmesidir.

16
Thomas Pornin

Onlara ihtiyacınız yok: bu sadece eski bir alışkanlık. Proje Perspektifleri

2
Alexey Vesnin

Karşılaşacağınız https bağlantıları kümesi iki ayrık alt kümeye ayrılır:

  • İlgilenenler: finansal siteler, e-posta, iş, yedekleriniz için bulut depolama ... güvenliği ihlal edilmiş bir bağlantının size maliyeti olacak herhangi bir site paraya, verilere, zamana, ağırlaştırmaya, diğer sitelerin güvenliğinin ihlal edilmesine neden olur (ana e-posta listede - şifre sıfırlama) vb.
  • İlgilenmediğiniz kişiler: Güvenlikle ilgili bir konu olmayan ve umursadığınız her şey için düz http'yi kolayca kullanabildikleri sitelerin çoğu.

Önem verenler için, adres çubuğundaki asma kilit simgesine tıklayabilir ve CA'nın bu bağlantıyı hangi sertifikaya verdiğini görebilirsiniz. İlgilendiğiniz takdirde kullanılan algoritmaları, sertifikaların tarihlerini ve diğer birçok ayrıntıyı da inceleyebilirsiniz.

Önem vermeyenler için umursamıyorsunuz! Oturum kaçırıldı mı? Hoş olmayan bir hükümet tarafından kontrol edilen bazı CAlarla uğraşmak mı? Ne olmuş yani? Güvenlik sorunu yok ve önemli değil.

Bu yüzden tüm bu CA'ların orada olması önemli değil. Önemli olduğunda, bağlantınızın güvendiğiniz bir CA tarafından onaylandığından emin olabilirsiniz. Diğerlerinin varlığı önemsizdir.

1
Tom Zych

Hangi CA'yı kapatabileceğinizi veya devre dışı bırakabileceğinizi belirleyebiliyorsanız şanslısınız. Çoğunlukla olduğu gibi izin vermek, bazı CA'ları devre dışı bırakırsanız gelecekte karşılaşabileceğiniz gereksiz sorunlardan kaçınmanın en iyi yoludur.

Herhangi bir virüs veya benzeri için endişeleniyorsanız, iyileştirin veya iyi bir antivirüs edinin.

0
Jesse