it-swarm-id.com

Apakah saya benar-benar membutuhkan semua Otoritas Sertifikat ini di browser saya atau di gantungan kunci saya?

Ada banyak Otoritas Sertifikat yang tampak aneh di gantungan kunci saya dan juga Firefox. Saya yakin mereka adalah CA yang sah (karena mereka sama pada Mac dan PC saya dan komputer lain yang saya periksa). Dan anehnya maksud saya mereka sepertinya khusus untuk negara atau organisasi lain yang sama yang saya yakin tidak ada hubungannya, apakah ada cara untuk menghapus CA yang tidak perlu ini dengan aman? Apakah ada daftar untuk pengguna AS biasa atau cara untuk menonaktifkannya dan mengaktifkannya saat dibutuhkan?

14
Ali

Web ada di seluruh dunia. Bahwa Anda adalah "pengguna AS" tidak berarti Anda hanya akan melihat situs web AS.

Anda dapat menghapus sertifikat CA apa pun yang tidak ingin Anda percayai. Itu hak prerogatif Anda. Satu-satunya konsekuensi dari menghapus sertifikat CA adalah bahwa mesin akan berhenti menerima secara otomatis sertifikat apa pun yang dikeluarkan oleh CA tersebut. Terjemahan: beberapa situs web HTTPS mungkin mulai memicu peringatan menakutkan, yang selalu bisa Anda bypass, tetapi tetap saja menakutkan (dan melatih diri Anda untuk mem-bypass peringatan menakutkan mungkin bukan ide yang bagus).

Yang benar adalah bahwa, sebagai pengguna, Anda memiliki sedikit informasi yang dapat dijadikan dasar keputusan Anda untuk percaya atau tidak mempercayai CA tertentu. Idealnya, Anda hanya akan mempercayai CA yang dapat Anda gunakan untuk menetapkan jalur tanggung jawab yang jelas: CA yang akan memberi Anda banyak uang jika Anda ditipu karena kesalahan yang dibuat oleh CA. Namun, tidak ada CA semacam itu. Sebaliknya, yang Anda miliki adalah daftar "CA default" yang membuat kesepakatan dengan vendor OS (Apple, dalam kasus Mac OS) sehingga vendor OS menerima untuk memasukkannya sebagai "CA default". CA ini, dan Apple, terlalu pintar, secara hukum, untuk memberi Anda uang jika ada masalah (sebagai pengguna Mac, hubungan uang Anda dengan Apple agak mengalir ke arah lain) Namun, jika salah satu dari "default CA" mulai berlaku tidak pantas, itu Apple gambar publik yang dipertaruhkan.

Jadi saran saya adalah membiarkan hal-hal seperti apa adanya. Inilah yang hampir semua orang lakukan. Ingatlah bahwa, bagaimanapun juga, maksud CA adalah untuk memvalidasi sertifikat, yang berarti tidak berarti bahwa situs yang bersangkutan dikelola oleh orang-orang yang jujur ​​dan dapat dipercaya; satu-satunya hal yang dijamin oleh CA adalah bahwa halaman Web yang Anda lihat benar-benar berasal dari situs Web yang namanya ada di bilah URL.

16
Thomas Pornin

Anda tidak memerlukannya: itu hanya kebiasaan lama. Lihatlah Perspektif Proyek

2
Alexey Vesnin

Himpunan koneksi https yang akan Anda temui dipecah menjadi dua himpunan bagian yang terpisah:

  • Yang Anda pedulikan: situs keuangan, email, kantor, penyimpanan cloud untuk cadangan Anda ... situs mana pun yang memiliki koneksi terkompromi akan membebani Anda dengan uang, data, waktu, kejengkelan, kompromi dari situs lain (alasan utama email ada dalam daftar - kata sandi ulang), dll.
  • Yang tidak Anda pedulikan: sebagian besar situs di luar sana, tempat keamanan tidak menjadi masalah dan mereka dapat dengan mudah menggunakan http sederhana untuk semua yang Anda pedulikan.

Bagi mereka yang Anda sayangi, Anda dapat mengklik ikon gembok di bilah alamat dan melihat apa yang CA mengesahkan koneksi ini. Anda bahkan dapat menggali algoritma yang digunakan, tanggal sertifikat, dan banyak detail lainnya, jika Anda tertarik.

Bagi mereka yang tidak Anda pedulikan, yah, Anda tidak peduli! Sesi dibajak? Beberapa CA yang dikendalikan oleh pemerintah yang tidak menyenangkan mengacaukan Anda? Terus? Tidak ada masalah keamanan dan itu tidak masalah.

Jadi tidak masalah jika semua CA itu ada di sana. Saat menghitung, Anda dapat dengan mudah memastikan bahwa koneksi Anda disertifikasi oleh CA yang Anda percayai. Kehadiran semua yang lain itu tidak relevan.

1
Tom Zych

Anda beruntung jika Anda dapat mengidentifikasi CA mana yang dapat dimatikan atau dinonaktifkan. Sebagian besar membiarkannya apa adanya, adalah cara terbaik untuk menghindari masalah yang tidak perlu yang dapat Anda temui di masa depan jika Anda menonaktifkan CA.

Jika Anda khawatir dengan virus atau sejenisnya, tingkatkan atau dapatkan antivirus yang bagus.

0
Jesse