Ubuntu 17.04 升级要求我选择受信任的证书

Question

简短回答： 您无法真正知道哪些是值得信赖的（您说得对，在升级期间要求用户做出这样的决定确实太复杂了）。对于大多数人来说，最好让 Mozilla 和 Google 管理各自的信任库，因为他们将禁止或限制任何被发现违反信任的 CA。

较长的答案： 即使是那些被认为是最“值得信赖”的 CA 也经常被发现存在缺陷。例如，Google 最近发现 Symantec（大多数人认为 Symantec 是值得信赖的 CA，尤其是因为他们拥有 VeriSign）错误颁发了超过 30,000 份证书并严重违反 CABForum 对 CA 的基本要求。显然这种情况已经持续多年。其他几家广受信任的 CA 也被发现在过去几年中错误颁发证书或信誉受损（中国互联网络信息中心，科摩多，再次回到科摩多以及现已不复存在的数码公证（是几个例子）。越来越明显的是，行业本身并不知道如何准确地验证CA的可信度。

此外，要知道，即使是遵守规则的 CA 也可能被滥用，因为它们采用的是自动化系统。例如，全自动 CA Let's Encrypt可能被滥用使钓鱼网站看起来更可信，而 Let's Encrypt 实际上并没有做错什么。了解访问“安全”网站时所断言的内容非常重要。域验证证书（最常见的）仅断言注册证书的人也拥有该域，并且您与该域的服务器有安全连接。他们不会断言运营该域的个人或公司是谁。

如果您非常担心安全性以及不太知名的 CA 可能错误颁发证书，那么一个好的规则是只信任可能为您访问的主要网站颁发证书的 CA。对于许多人来说，这将是美国和欧盟的主要证书颁发机构（以下是2015 年十大，但请记住，Let's Encrypt 现在也是一个大玩家）。您可以稍后根据需要添加对其他 CA 的信任。

Answer 1

简短回答： 您无法真正知道哪些是值得信赖的（您说得对，在升级期间要求用户做出这样的决定确实太复杂了）。对于大多数人来说，最好让 Mozilla 和 Google 管理各自的信任库，因为他们将禁止或限制任何被发现违反信任的 CA。

较长的答案： 即使是那些被认为是最“值得信赖”的 CA 也经常被发现存在缺陷。例如，Google 最近发现 Symantec（大多数人认为 Symantec 是值得信赖的 CA，尤其是因为他们拥有 VeriSign）错误颁发了超过 30,000 份证书并严重违反 CABForum 对 CA 的基本要求。显然这种情况已经持续多年。其他几家广受信任的 CA 也被发现在过去几年中错误颁发证书或信誉受损（中国互联网络信息中心，科摩多，再次回到科摩多以及现已不复存在的数码公证（是几个例子）。越来越明显的是，行业本身并不知道如何准确地验证CA的可信度。

此外，要知道，即使是遵守规则的 CA 也可能被滥用，因为它们采用的是自动化系统。例如，全自动 CA Let's Encrypt可能被滥用使钓鱼网站看起来更可信，而 Let's Encrypt 实际上并没有做错什么。了解访问“安全”网站时所断言的内容非常重要。域验证证书（最常见的）仅断言注册证书的人也拥有该域，并且您与该域的服务器有安全连接。他们不会断言运营该域的个人或公司是谁。

如果您非常担心安全性以及不太知名的 CA 可能错误颁发证书，那么一个好的规则是只信任可能为您访问的主要网站颁发证书的 CA。对于许多人来说，这将是美国和欧盟的主要证书颁发机构（以下是2015 年十大，但请记住，Let's Encrypt 现在也是一个大玩家）。您可以稍后根据需要添加对其他 CA 的信任。

Ubuntu 17.04 升级要求我选择受信任的证书

答案1

相关内容