Обновление Ubuntu 17.04 предлагает мне выбрать доверенные сертификаты

Краткий ответ: вы не можете действительно знать, какие из них заслуживают доверия (и вы правы, что это действительно слишком сложно, чтобы попросить пользователя принять такое решение во время обновления). Для большинства людей лучше всего разрешить Mozilla и Google управлять своими соответствующими хранилищами доверия, поскольку они будут запрещать или ограничивать любые CA, которые, как установлено, нарушают доверие.

Короткий ответ: ЦС, которые, предположительно, являются наиболее «заслуживающими доверия», регулярно оказываются неработоспособными. Например, недавно Google обнаружил, что Symantec (CA, который больше всего полагает, что он является основой надежности, особенно потому, что владеет VeriSign), неправильно выдал более 30 000 сертификатов и совершил серьезные нарушения базовых требований CABForum для ЦС. Видимо, это продолжается уже много лет. Несколько других широко доверенных ЦС аналогичным образом были признаны ошибочными сертификатами или были подвергнуты риску на протяжении многих лет (CNNIC, Comodo, Comodo снова, а ныне несуществующий DigiNotar - это несколько примеров). Становится все более очевидным, что сама отрасль не знает, как точно проверить достоверность CA.

Также понимайте, что даже ЦС, которые следуют правилам, могут злоупотреблять, потому что они используют автоматизированные системы. Например, полностью автоматизированный CA Let's Encrypt неправильно выдал более 30 000 сертификатов , чтобы сделать сайты фишинга более надежными, а Let's Encrypt на самом деле ничего плохого не делает. Важно понимать, что утверждается, когда вы посещаете «безопасный» сайт. Сертификаты проверки домена (наиболее распространенные) утверждают только, что лицо, зарегистрировавшее сертификат, также владеет доменом, и что у вас есть безопасное соединение с сервером этого домена. Они не утверждают ничего о том, кем является человек или компания, действующая в этом домене.

Если вы очень обеспокоены безопасностью и возможностью использования менее известных сертификатов CA, выдающих сертификаты, хорошим правилом является только доверие ЦС, которые могут выдавать сертификаты для основных сайтов, которые вы посещаете. Для многих это были бы главные сертификационные центры США и ЕС (вот первые 10 с 2015 года, но имейте в виду, что Let's Encrypt также является крупным игроком). Позднее вы можете добавить доверие к дополнительным ЦС, как вы можете это понять.

Краткий ответ: вы не можете действительно знать, какие из них заслуживают доверия (и вы правы, что это действительно слишком сложно, чтобы попросить пользователя принять такое решение во время обновления). Для большинства людей лучше всего разрешить Mozilla и Google управлять своими соответствующими хранилищами доверия, поскольку они будут запрещать или ограничивать любые CA, которые, как установлено, нарушают доверие.

Короткий ответ: ЦС, которые, предположительно, являются наиболее «заслуживающими доверия», регулярно оказываются неработоспособными. Например, недавно Google обнаружил, что Symantec (CA, который больше всего полагает, что он является основой надежности, особенно потому, что владеет VeriSign), неправильно выдал более 30 000 сертификатов и совершил серьезные нарушения базовых требований CABForum для ЦС. Видимо, это продолжается уже много лет. Несколько других широко доверенных ЦС аналогичным образом были признаны ошибочными сертификатами или были подвергнуты риску на протяжении многих лет (CNNIC, Comodo, Comodo снова, а ныне несуществующий DigiNotar - это несколько примеров). Становится все более очевидным, что сама отрасль не знает, как точно проверить достоверность CA.

Также понимайте, что даже ЦС, которые следуют правилам, могут злоупотреблять, потому что они используют автоматизированные системы. Например, полностью автоматизированный CA Let's Encrypt неправильно выдал более 30 000 сертификатов , чтобы сделать сайты фишинга более надежными, а Let's Encrypt на самом деле ничего плохого не делает. Важно понимать, что утверждается, когда вы посещаете «безопасный» сайт. Сертификаты проверки домена (наиболее распространенные) утверждают только, что лицо, зарегистрировавшее сертификат, также владеет доменом, и что у вас есть безопасное соединение с сервером этого домена. Они не утверждают ничего о том, кем является человек или компания, действующая в этом домене.

Если вы очень обеспокоены безопасностью и возможностью использования менее известных сертификатов CA, выдающих сертификаты, хорошим правилом является только доверие ЦС, которые могут выдавать сертификаты для основных сайтов, которые вы посещаете. Для многих это были бы главные сертификационные центры США и ЕС (вот первые 10 с 2015 года, но имейте в виду, что Let's Encrypt также является крупным игроком). Позднее вы можете добавить доверие к дополнительным ЦС, как вы можете это понять.

Краткий ответ: вы не можете действительно знать, какие из них заслуживают доверия (и вы правы, что это действительно слишком сложно, чтобы попросить пользователя принять такое решение во время обновления). Для большинства людей лучше всего разрешить Mozilla и Google управлять своими соответствующими хранилищами доверия, поскольку они будут запрещать или ограничивать любые CA, которые, как установлено, нарушают доверие.

Короткий ответ: ЦС, которые, предположительно, являются наиболее «заслуживающими доверия», регулярно оказываются неработоспособными. Например, недавно Google обнаружил, что Symantec (CA, который больше всего полагает, что он является основой надежности, особенно потому, что владеет VeriSign), неправильно выдал более 30 000 сертификатов и совершил серьезные нарушения базовых требований CABForum для ЦС. Видимо, это продолжается уже много лет. Несколько других широко доверенных ЦС аналогичным образом были признаны ошибочными сертификатами или были подвергнуты риску на протяжении многих лет (CNNIC, Comodo, Comodo снова, а ныне несуществующий DigiNotar - это несколько примеров). Становится все более очевидным, что сама отрасль не знает, как точно проверить достоверность CA.

Также понимайте, что даже ЦС, которые следуют правилам, могут злоупотреблять, потому что они используют автоматизированные системы. Например, полностью автоматизированный CA Let's Encrypt неправильно выдал более 30 000 сертификатов , чтобы сделать сайты фишинга более надежными, а Let's Encrypt на самом деле ничего плохого не делает. Важно понимать, что утверждается, когда вы посещаете «безопасный» сайт. Сертификаты проверки домена (наиболее распространенные) утверждают только, что лицо, зарегистрировавшее сертификат, также владеет доменом, и что у вас есть безопасное соединение с сервером этого домена. Они не утверждают ничего о том, кем является человек или компания, действующая в этом домене.

Если вы очень обеспокоены безопасностью и возможностью использования менее известных сертификатов CA, выдающих сертификаты, хорошим правилом является только доверие ЦС, которые могут выдавать сертификаты для основных сайтов, которые вы посещаете. Для многих это были бы главные сертификационные центры США и ЕС (вот первые 10 с 2015 года, но имейте в виду, что Let's Encrypt также является крупным игроком). Позднее вы можете добавить доверие к дополнительным ЦС, как вы можете это понять.