Обновление Ubuntu 17.04 просит, чтобы я выбрал сертификаты, которым доверяют,

Question 1

Я только что запустил обновление от Ubuntu 16.10 до Ubuntu 17.04. Это закончило загружать и теперь ca-certificates-Konfiguration (на немецком языке), просит, чтобы я выбрал сертификаты, которым я доверяю.

Я знаю основы об АВАРИИ, но как я знаю, которые защищены? Существует ли список или что-то? Это кажется ужасно сложным для простого обновления операционной системы.

Question 2

Короткий ответ: Вы не можете действительно знать, которые защищены (и Вы правы, что это действительно очень слишком сложно, чтобы попросить, чтобы пользователь принял решение как этот во время обновления). Поскольку большинство людей лучше позволять Mozilla и Google управлять своими соответствующими базами доверенных сертификатов, поскольку они запретят или ограничат любую АВАРИЮ, которая, как находят, нарушала доверие.

Более длинный ответ: Даже АВАРИЯ, которые являются, предположительно, самыми "защищенными", как регулярно находят, потерпела неудачу. Например, Google недавно нашел, что Symantec (CA, который большинство примет, чтобы быть столбом степени доверия, тем более, что они владеют VeriSign) неправильный выпустила более чем 30 000 сертификатов и совершила основные нарушения базовых требований CABForum для АВАРИИ, По-видимому, это продолжалось в течение многих лет. Несколько других широко доверяемых АВАРИЙ, как так же находили, неправильный выпускали сертификаты или поставили под угрозу их доверие за эти годы ( CNNIC, Comodo, Comodo снова , и ныне несуществующее , DigiNotar является несколькими примерами). Становится все больше ясно, что сама промышленность не знает, как точно проверить степень доверия CA.

кроме того, поймите, что даже АВАРИЕЙ, которые следуют правилам, можно злоупотребить, потому что они используют автоматизированные системы. Например, полностью автоматизированный CA Позволяют нам Зашифровать , может быть злоупотреблен , чтобы заставить сайты фишинга выглядеть более защищенными, и Давайте Зашифруем, на самом деле не делает ничего плохого. Важно понять то, что утверждается, когда Вы посещаете "безопасный" сайт. Доменные сертификаты проверки (наиболее распространенное) только утверждают, что человек, который зарегистрировал сертификат также, владеет доменом, и что у Вас есть безопасное соединение с сервером того домена. Они ничего не утверждают о том, кто человек или компания, управляющая тем доменом.

, Если Вы высоко обеспокоены безопасностью и возможностью менее известных сертификатов неправильного издания АВАРИИ, хорошее правило состоит в том, чтобы только доверять АВАРИИ, которые, вероятно, выпустят сертификаты для крупнейших сайтов, которые Вы посещаете. Для многих людей это было бы крупнейшими центрами сертификации США и ЕС (вот лучшие 10 с 2015 , но имеет в виду, что Позволяют нам Зашифровать, крупный игрок теперь также). Можно позже добавить доверие для дополнительной АВАРИИ, поскольку можно найти потребность к.

blendenzo · Accepted Answer · 7 December 2019 в 13:34

Короткий ответ: Вы не можете действительно знать, которые защищены (и Вы правы, что это действительно очень слишком сложно, чтобы попросить, чтобы пользователь принял решение как этот во время обновления). Поскольку большинство людей лучше позволять Mozilla и Google управлять своими соответствующими базами доверенных сертификатов, поскольку они запретят или ограничат любую АВАРИЮ, которая, как находят, нарушала доверие.

Более длинный ответ: Даже АВАРИЯ, которые являются, предположительно, самыми "защищенными", как регулярно находят, потерпела неудачу. Например, Google недавно нашел, что Symantec (CA, который большинство примет, чтобы быть столбом степени доверия, тем более, что они владеют VeriSign) неправильный выпустила более чем 30 000 сертификатов и совершила основные нарушения базовых требований CABForum для АВАРИИ, По-видимому, это продолжалось в течение многих лет. Несколько других широко доверяемых АВАРИЙ, как так же находили, неправильный выпускали сертификаты или поставили под угрозу их доверие за эти годы ( CNNIC, Comodo, Comodo снова , и ныне несуществующее , DigiNotar является несколькими примерами). Становится все больше ясно, что сама промышленность не знает, как точно проверить степень доверия CA.

кроме того, поймите, что даже АВАРИЕЙ, которые следуют правилам, можно злоупотребить, потому что они используют автоматизированные системы. Например, полностью автоматизированный CA Позволяют нам Зашифровать , может быть злоупотреблен , чтобы заставить сайты фишинга выглядеть более защищенными, и Давайте Зашифруем, на самом деле не делает ничего плохого. Важно понять то, что утверждается, когда Вы посещаете "безопасный" сайт. Доменные сертификаты проверки (наиболее распространенное) только утверждают, что человек, который зарегистрировал сертификат также, владеет доменом, и что у Вас есть безопасное соединение с сервером того домена. Они ничего не утверждают о том, кто человек или компания, управляющая тем доменом.

, Если Вы высоко обеспокоены безопасностью и возможностью менее известных сертификатов неправильного издания АВАРИИ, хорошее правило состоит в том, чтобы только доверять АВАРИИ, которые, вероятно, выпустят сертификаты для крупнейших сайтов, которые Вы посещаете. Для многих людей это было бы крупнейшими центрами сертификации США и ЕС (вот лучшие 10 с 2015 , но имеет в виду, что Позволяют нам Зашифровать, крупный игрок теперь также). Можно позже добавить доверие для дополнительной АВАРИИ, поскольку можно найти потребность к.

Обновление Ubuntu 17.04 просит, чтобы я выбрал сертификаты, которым доверяют,

1 ответ

Другие вопросы по тегам:

Похожие вопросы: