私のブラウザーやキーチェーンにこれらすべての認証局が本当に必要ですか?
私のキーチェーンとFirefoxには奇妙に見える認証局がたくさんあります。私はそれらが正当なCAであると確信しています(私のMacとPC、および私が確認した他のコンピューターでも同じです)。そして奇妙なことに、私が関係のない同じ国または組織に固有であると思われることを意味します。これらの不要なCAを安全に削除する方法はありますか?通常の米国ユーザー向けのリストはありますか、またはそれらを無効にして必要なときに有効にする方法はありますか?
Webは世界中に広がっています。あなたが「米国のユーザー」であるということは、あなたが米国のウェブサイトだけを見ることを意味するのではありません。
信頼したくないCA証明書は削除できます。それはあなたの特権です。 CA証明書を削除した場合の唯一の結果は、そのCAが発行した証明書を有効なものとしてマシンが自動的に受け入れなくなることです。翻訳:一部のHTTPS Webサイトは恐ろしい警告をトリガーし始める可能性がありますが、それは常に回避できますが、それでも恐ろしいものです(そして、恐ろしい警告を回避するように自分でトレーニングすることは、とにかく良い考えではないかもしれません)。
真実は、ユーザーとして、特定のCAを信頼するか信頼しないかの決定の基礎となる情報はほとんどないということです。理想的には、明確な責任パスを確立できるCAだけを信頼することになります。CAは、CAのミスにより詐欺に遭った場合に多くの資金を提供します。ただし、そのようなCAはありません。代わりに、OSベンダー(Mac OSの場合はApple)と取引を行って、OSベンダーがそれらを「デフォルトCA」として含めることを受け入れるようにした「デフォルトCA」のリストがあります。これらのCAとAppleは、法的に言えば、あまりにも賢く、問題が発生した場合にお金を提供することはできません(Macユーザーとして、Appleとのお金の関係はむしろ反対方向に流れます)。 。しかし、「デフォルトCA」の1つが不適切に動作し始めた場合、それは問題となっているApple public imageです。
だから私のアドバイスは、物事をそのままにしておくことです。これはほとんど誰もがやっていることです。いずれの場合でも、CAのポイントは証明書を検証することです。これはnotは、対応するサイトが正直で信頼できる人々によって維持されていることを意味します。 CAが保証する唯一のことは、あなたが見ているWebページは、URLバーに名前が記載されているWebサイトから実際に取得されたものであるということです。
あなたはそれらを必要としません:それは単なるレガシーな習慣です。 Project Perspectives を見てください。
遭遇するhttps接続のセットは、2つの互いに素なサブセットに分類されます。
- 関心のあるサイト:金融サイト、メール、仕事、バックアップ用のクラウドストレージ…接続が危険にさらされて、お金、データ、時間、悪化、他のサイトの危険にさらされるサイト(メールがリストにある主な理由—パスワード)リセット)など.
- あなたが気にしないもの:セキュリティが問題ではなく、あなたが気にするすべてのものに対してプレーンHTTPを簡単に使用できる、ほとんどのサイトがあります。
気になる人は、アドレスバーの南京錠のアイコンをクリックして、この接続を認証しているCAを確認できます。興味がある場合は、使用するアルゴリズム、証明書の日付、およびその他の多くの詳細を調べることもできます。
あなたが気にしない人のために、まあ、あなたは気にしない!セッションはハイジャックされましたか?不快な政府によって管理されているCAがあなたを混乱させていますか?だから何?セキュリティ上の問題はなく、問題ではありません。
したがって、これらのCAがすべて存在していても、問題にはなりません。それが重要である場合、接続が信頼できるCAによって認証されていることを簡単に確認できます。他のすべての存在は無関係です。
オフまたは無効にできるCAを特定できれば幸運です。ほとんどそのままにすることは、CAを無効にした場合に将来発生する可能性のある不要な問題を回避するための最良の方法です。
ウイルスなどが心配な場合は、改善するか、優れたアンチウイルスを入手してください。