Diese Frage wurde überarbeitet. & wurde seit der Originalversion erheblich geklärt.
Wenn wir uns jedes vertrauenswürdige Zertifikat in meinem vertrauenswürdigen Stammspeicher ansehen, wie sehr sollte ich ihnen vertrauen?
Welche Faktoren sollten berücksichtigt werden, wenn ich das Vertrauen jeder Stammzertifizierungsstelle hinsichtlich einer möglichen Entfernung aus meinem lokalen Geschäft bewerte?
Weitere Informationen:
Wenn eine Zertifizierungsstelle ein Zertifikat an eine nicht ordnungsgemäß validierte Partei ausstellt, sind alle Computer, die dieser Zertifizierungsstelle vertrauen, für MITM-Angriffe anfällig. Infolgedessen validieren alle Zertifizierungsstellen den Anforderer einer bestimmten SSL-Zertifikatanforderung streng, um die Integrität ihrer CS-Kette sicherzustellen.
Ein großer Teil dieses CA-Überprüfungsprozesses unterliegt jedoch menschlichen Eingriffen und bietet Möglichkeiten dazu ein Zertifikat an die falsche Partei ausstellen. Dies kann durch CA-Betreiberfehler, behördliche Anforderungen oder möglicherweise durch Zwang (Bestechung) eines CA-Betreibers geschehen.
Ich möchte mehr darüber erfahren, welche Standard-CAs mit größerer Wahrscheinlichkeit Zertifikate an die CA ausstellen falsche Partei. Ich beabsichtige, diese Informationen zu verwenden, um Benutzern zu empfehlen, diese Zertifizierungsstelle aus ihrem Trusted Cert Store zu entfernen.
Beispiele:
Angenommen, die Regierung, die eine bestimmte Zertifizierungsstelle kontrolliert, möchte die Identität von annehmen Microsoft.com und fordert eine Ausnahme vom Überprüfungsprozess der Zertifizierungsstelle. Diese Regierung verlangt dann auch die Wahrung der Geheimhaltung dieser Ausnahme. Das generierte Schlüsselpaar wird dann bei einem MITM-Angriff verwendet.
Windows Azure-Standardvertrauensstellung
Windows Azure unterstützt 275 Zertifizierungsstellen, wie in the gezeigt folgenden Link. Abhängig von der Verwendung der jeweiligen Zertifizierungsstelle können einige dieser Zertifizierungsstellen die Oberfläche eines bestimmten Angriffs vergrößern. Tatsächlich kann dies technisch erforderlich sein, damit einige Anwendungen ordnungsgemäß funktionieren.
Amazon Default Trust
(nicht verfügbar) Bitte teilen Sie Links zu Amazon, Google, und die Standard-CA-Liste von VMWare, wenn Sie auf sie stoßen.
Mozilla
Eine Liste aller Zertifikate und Prüfanweisungen ist verfügbar.
Apple iOS
Liste aller iPhone-Stammzertifikate, wie in dieser # WWDC2017 erwähnt. Video