Ubuntu 17.04 升级要求我选择受信任的证书

Ubuntu 17.04 升级要求我选择受信任的证书

我刚刚开始从 Ubuntu 16.10 升级到 Ubuntu 17.04。它已完成下载,现在ca-certificates-Konfiguration(德语)要求我选择我信任的证书。

我了解 CA 的基本知识,但我怎么知道哪些 CA 是值得信赖的?有列表吗?对于简单的操作系统升级来说,这似乎非常复杂。

屏幕截图 ca-certificates-Konfiguration

答案1

简短回答: 您无法真正知道哪些是值得信赖的(您说得对,在升级期间要求用户做出这样的决定确实太复杂了)。对于大多数人来说,最好让 Mozilla 和 Google 管理各自的信任库,因为他们将禁止或限制任何被发现违反信任的 CA。

较长的答案: 即使是那些被认为是最“值得信赖”的 CA 也经常被发现存在缺陷。例如,Google 最近发现 Symantec(大多数人认为 Symantec 是值得信赖的 CA,尤其是因为他们拥有 VeriSign)错误颁发了超过 30,000 份证书并严重违反 CABForum 对 CA 的基本要求。显然这种情况已经持续多年。其他几家广受信任的 CA 也被发现在过去几年中错误颁发证书或信誉受损(中国互联网络信息中心科摩多再次回到科摩多以及现已不复存在的数码公证(是几个例子)。越来越明显的是,行业本身并不知道如何准确地验证CA的可信度。

此外,要知道,即使是遵守规则的 CA 也可能被滥用,因为它们采用的是自动化系统。例如,全自动 CA Let's Encrypt可能被滥用使钓鱼网站看起来更可信,而 Let's Encrypt 实际上并没有做错什么。了解访问“安全”网站时所断言的内容非常重要。域验证证书(最常见的)仅断言注册证书的人也拥有该域,并且您与该域的服务器有安全连接。他们不会断言运营该域的个人或公司是谁。

如果您非常担心安全性以及不太知名的 CA 可能错误颁发证书,那么一个好的规则是只信任可能为您访问的主要网站颁发证书的 CA。对于许多人来说,这将是美国和欧盟的主要证书颁发机构(以下是2015 年十大,但请记住,Let's Encrypt 现在也是一个大玩家)。您可以稍后根据需要添加对其他 CA 的信任。

相关内容