ฉันควรเชื่อถือผู้มีสิทธิ์ออกใบรับรองหลักที่เชื่อถือได้อย่างไร

หลังจากบทความ Slashdot สองรายการล่าสุด ( # 1 # 2 ) เกี่ยวกับใบรับรองรูทที่น่าสงสัยที่ติดตั้งบนเครื่องฉันตัดสินใจที่จะดูสิ่งที่ฉันติดตั้งไว้ในเครื่องของฉัน
(ฉันใช้ Chrome รุ่นปัจจุบันบน Win7 ซึ่งฉันเข้าใจว่าใช้รายการ CA ของ Windows)

สิ่งที่ฉันพบทำให้ฉันประหลาดใจจริงๆ

• เครื่องจักรที่ค่อนข้างสะอาดสองเครื่องมีรายชื่อ CA ต่างกันอย่างมากมาย
• แต่ละคนมีจำนวน CA ที่หมดอายุในปี 1999 และ 2004!
• ตัวตนของ CAs จำนวนมากนั้นไม่ง่ายที่จะเข้าใจ

ฉันยังเห็นว่าใบรับรองจำนวนมากหมดอายุในปี 2037 ไม่นานก่อนที่ UNIX-rollover น่าจะหลีกเลี่ยงข้อผิดพลาดประเภท Y2K38 ที่ไม่รู้จักในปัจจุบัน แต่ใบรับรองอื่น ๆ นั้นดีมาก

ฉันค้นหาไปรอบ ๆ แต่ค่อนข้างน่าแปลกใจที่ไม่พบรายชื่อมาตรฐานที่ยอมรับ CA โดยทั่วไป

• หากฉันมีใบรับรองโกง MITM บนเครื่องของฉันฉันจะรู้ได้อย่างไร
• มีรายการ "ยอมรับ" certs อยู่หรือไม่
• ฉันปลอดภัยที่จะลบ CA ที่หมดอายุหรือไม่
• ฉันจะรู้ได้อย่างไรว่าเคยใช้ CA กับ HTTPS มาก่อนหรือไม่?

หากฉันมีใบรับรองโกง MITM บนเครื่องของฉันฉันจะรู้ได้อย่างไร

คุณมักจะไม่ ในความเป็นจริงนี่เป็นวิธีที่ SysAdmins สอดแนมเซสชัน HTTPS ของพนักงานอย่างเงียบ ๆ : พวกเขาผลักดันใบรับรองที่เชื่อถือได้ไปยังเดสก์ท็อปทั้งหมดอย่างเงียบ ๆ และใบรับรองที่เชื่อถือได้นั้นอนุญาตให้พร็อกซีกลาง (ค้นหา "ผลักดัน CA สำหรับนโยบายกลุ่มพร็อกซี https" - ไม่มีลิงก์ที่มีชื่อเสียงต่ำของฉัน!)

มีรายการ "ยอมรับ" certs อยู่หรือไม่

มีไม่กี่รายการทั่วไปของ certs ในการติดตั้งระบบปฏิบัติการหุ้น อย่างไรก็ตามมีรายการ CAs hardcoded ของ ALSO ในบางเบราว์เซอร์ (เช่นhttp://mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp ) เพื่อสนับสนุน Extended Validation ("แถบสีเขียว"), แต่รายการ EV ก็แตกต่างกันไป (เช่นhttp://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

ฉันปลอดภัยที่จะลบ CA ที่หมดอายุหรือไม่

โดยทั่วไปใช่ ... หากสิ่งที่คุณทำคือการท่องเว็บไซต์ อย่างไรก็ตามคุณอาจพบปัญหาอื่น ๆ ที่เรียกใช้แอปพลิเคชันการเซ็นชื่อบางอย่าง

ฉันจะรู้ได้อย่างไรว่าเคยใช้ CA กับ HTTPS มาก่อนหรือไม่?

อืม ... ดูเหมือนว่าแอพที่ต้องมีการเขียน ;)