it-swarm-vi.com

Tôi có thực sự cần tất cả các Cơ quan cấp chứng chỉ này trong trình duyệt hoặc trong móc khóa của mình không?

Có rất nhiều Nhà chức trách chứng chỉ trông lạ trong móc khóa của tôi cũng như Firefox. Tôi chắc chắn chúng là các CA hợp pháp (vì chúng giống nhau trên máy Mac và PC của tôi và các máy tính khác mà tôi đã kiểm tra). Và kỳ lạ là tôi có vẻ như họ đặc biệt với các quốc gia hoặc tổ chức khác mà tôi chắc chắn rằng tôi không có gì để làm, có cách nào để loại bỏ các CA không cần thiết này một cách an toàn không? Có một danh sách cho người dùng Mỹ thường xuyên hoặc một cách để vô hiệu hóa chúng và kích hoạt chúng khi họ cần?

14
Ali

Web là trên toàn thế giới. Rằng bạn là "người dùng Mỹ" không có nghĩa là bạn sẽ chỉ xem các trang web của Hoa Kỳ.

Bạn có thể xóa bất kỳ chứng chỉ CA nào mà bạn không muốn tin tưởng. Đó là đặc quyền của bạn. Hậu quả duy nhất của việc xóa chứng chỉ CA là máy sẽ ngừng tự động chấp nhận là hợp lệ bất kỳ chứng chỉ nào do CA nói. Dịch: một số trang web HTTPS có thể bắt đầu kích hoạt các cảnh báo đáng sợ, mà bạn luôn có thể bỏ qua, nhưng dù sao cũng đáng sợ (và tự rèn luyện để vượt qua các cảnh báo đáng sợ có thể không phải là ý tưởng hay).

Sự thật là, là một người dùng, bạn có rất ít thông tin mà bạn có thể dựa vào quyết định tin tưởng hoặc không tin tưởng bất kỳ CA cụ thể nào. Lý tưởng nhất là bạn chỉ tin tưởng những CA mà bạn có thể thiết lập một đường dẫn trách nhiệm rõ ràng cho bạn: CA sẽ cung cấp cho bạn rất nhiều tiền trong trường hợp bạn bị lừa đảo do lỗi của CA. Tuy nhiên, không có CA. Thay vào đó, những gì bạn có là một danh sách "CA mặc định", người đã thỏa thuận với nhà cung cấp HĐH (Apple, trong trường hợp Mac OS) để nhà cung cấp HĐH chấp nhận đưa chúng vào làm "CA mặc định". Các CA và Apple, quá thông minh, nói một cách hợp pháp, để cung cấp cho bạn tiền trong trường hợp có vấn đề (với tư cách là người dùng Mac, mối quan hệ tiền bạc của bạn với Apple thay vì chảy theo hướng khác) Tuy nhiên, nếu một trong những "CA mặc định" bắt đầu hành xử không đúng, thì đó là Apple hình ảnh công khai đang bị đe dọa.

Vì vậy, lời khuyên của tôi sẽ là để mọi thứ như hiện tại. Đây là những gì hầu hết mọi người làm. Hãy nhớ rằng, trong mọi trường hợp, quan điểm của CA là xác thực chứng chỉ, điều này không có nghĩa là trang web tương ứng được duy trì bởi những người trung thực và đáng tin cậy; điều duy nhất mà CA đảm bảo là trang Web bạn đang xem thực sự đến từ trang Web có tên trong thanh URL.

16
Thomas Pornin

Bạn không yêu cầu họ: đó chỉ là một di sản. Hãy xem Quan điểm dự án

2
Alexey Vesnin

Tập hợp các kết nối https bạn sẽ gặp phải được chia thành hai tập hợp rời rạc:

  • Những người bạn quan tâm: trang web tài chính, email, công việc, lưu trữ đám mây cho các bản sao lưu của bạn, bất kỳ trang web nào có kết nối bị xâm phạm sẽ khiến bạn mất tiền, dữ liệu, thời gian, tình tiết tăng nặng, thỏa hiệp của các trang web khác (lý do chính là email trong danh sách - mật khẩu đặt lại), v.v.
  • Những người bạn không quan tâm đến: hầu hết các trang web ngoài đó, nơi bảo mật không phải là vấn đề và họ có thể dễ dàng sử dụng http đơn giản cho tất cả những gì bạn quan tâm.

Đối với những người bạn quan tâm, bạn có thể nhấp vào biểu tượng ổ khóa trong thanh địa chỉ và xem CA nào đang xác nhận kết nối này. Bạn thậm chí có thể tìm hiểu các thuật toán được sử dụng, ngày tháng của các chứng chỉ và nhiều chi tiết khác, nếu bạn quan tâm.

Đối với những người bạn không quan tâm, tốt, bạn không quan tâm! Phiên họp bị tấn công? Một số CA bị kiểm soát bởi một chính phủ khó chịu đang gây rối với bạn? Vậy thì sao? Không có vấn đề gì về bảo mật và nó không thành vấn đề.

Vì vậy, nó thực sự không quan trọng nếu tất cả các CA đó đều ở đó. Khi nó được tính, bạn có thể dễ dàng đảm bảo rằng kết nối của bạn được chứng nhận bởi một CA mà bạn tin tưởng. Sự hiện diện của tất cả những người khác là không liên quan.

1
Tom Zych

Bạn thật may mắn nếu bạn có thể xác định CA nào bạn có thể tắt hoặc tắt. Chủ yếu là để nó như vậy, là cách tốt nhất để tránh mọi vấn đề không cần thiết mà bạn có thể gặp phải trong tương lai nếu bạn vô hiệu hóa một số CA.

Nếu bạn lo lắng về bất kỳ vi-rút hoặc tương tự, hãy cải thiện hoặc có được một số phần mềm chống vi-rút tốt.

0
Jesse