web-dev-qa-db-ja.com

ルートCAを信頼する方法

Mozillaなどのブラウザをダウンロードすると、いくつかのルート証明書がバンドルされています。

これらの証明書が正当であることをどのように信頼できますか?ダウンロードに偽のルート証明書が含まれていないことを確認するにはどうすればよいですか?

ソフトウェア自体がダウンロード中に整合性チェックを通過することを知っています(改ざんを排除します)。ただし、整合性チェック自体は、HTTPS経由でMozillaをダウンロードするために使用されているブラウザーを信頼する既存のブラウザーに依存しています。基本的に、Mozillaのダウンロード自体は、ダウンロードプロセス中にどこかで必要な他のルート証明書に依存しています。再帰的な問題のようです。

だから私の質問は、ブラウザに組み込まれたルート証明書をどのように信頼するのですか?

6
Minaj

まず、あなたは正しい、それは再帰的な問題です。 SSLは一種のカードの家です。なぜなら、誰を信頼するかを教えている人々を含め、常に何かを信頼する必要があるからです。多くの専門家がSSLの崩壊を予測しています。

HTTPS市場でのセキュリティ崩壊

SSL/TLS暗号化と空き地詐欺:失敗するには大きすぎます

SSLはどうしてうまくいかないのですか?方法を数えてみましょう

SSLと信頼性の将来

とはいえ、今のところこれですべてですので、パニックに陥っても役に立ちません。

ダウンロードしたプログラムが悪意のあるルート証明書をインストールしたことを懸念している場合は、それらをチェックするために this onethis one などのスキャナーを使用できます(注:私はそれらを試していないので、これらを推奨することはできません。

または、手動でスキャンしたい場合は、Microsoftの Trusted Root Certificates Program によって かなり良いリスト が管理されています。

2
John Wu