Ai-je vraiment besoin de toutes ces autorités de certification dans mon navigateur ou dans mon trousseau?
Il y a beaucoup d'autorités de certification d'aspect étrange dans mon trousseau ainsi que Firefox. Je suis sûr que ce sont des autorités de certification légitimes (car ce sont les mêmes sur mon Mac, mon PC et les autres ordinateurs que j'ai vérifiés). Et par étrange, je veux dire qu'ils semblent être spécifiques aux mêmes autres pays ou organisations avec lesquels je suis sûr que je n'ai rien à voir, existe-t-il un moyen de supprimer en toute sécurité ces autorités de certification inutiles? Existe-t-il une liste pour les utilisateurs américains réguliers ou un moyen de les désactiver et de les activer quand ils sont nécessaires?
Le Web est mondial. Que vous soyez un "utilisateur américain" ne signifie pas que vous ne regarderez que les sites Web américains.
Vous pouvez supprimer tout certificat CA auquel vous ne souhaitez pas faire confiance. Voilà votre prérogative. La seule conséquence de la suppression d'un certificat d'autorité de certification est que la machine cesse d'accepter automatiquement comme valide tout certificat émis par ladite autorité de certification. Traduction: certains sites Web HTTPS peuvent commencer à déclencher des avertissements effrayants, que vous pouvez toujours contourner, mais qui sont néanmoins effrayants (et vous entraîner à contourner les avertissements effrayants pourrait ne pas être une bonne idée de toute façon).
La vérité est qu'en tant qu'utilisateur, vous disposez de très peu d'informations sur lesquelles vous pouvez baser votre décision de faire confiance ou non à une autorité de certification particulière. Idéalement, vous ne feriez confiance qu'à ces autorités de certification pour lesquelles vous pouvez établir un chemin de responsabilité clair jusqu'à vous: l'autorité de certification qui vous donnera beaucoup d'argent au cas où vous vous feriez escroquer en raison d'une erreur commise par l'autorité de certification. Cependant, il n'y a pas une telle autorité de certification. Au lieu de cela, vous avez une liste de "CA par défaut" qui a conclu un accord avec le fournisseur du système d'exploitation (Apple, dans le cas de Mac OS) afin que le fournisseur du système d'exploitation accepte de les inclure en tant que "CA par défaut". Ces AC et Apple sont beaucoup trop intelligents, juridiquement parlant, pour vous donner de l'argent en cas de problème (en tant qu'utilisateur Mac, votre relation financière avec Apple va plutôt dans l'autre sens) Pourtant, si l'une des "autorités de certification par défaut" commence à se comporter de manière incorrecte, c'est Apple image publique qui est en jeu.
Mon conseil serait donc de laisser les choses telles qu'elles sont. C'est ce que presque tout le monde fait. N'oubliez pas que, dans tous les cas, le but de l'AC est de valider le certificat, ce qui ne signifie pas que le site correspondant est géré par des personnes honnêtes et dignes de confiance. gens; la seule chose que l'AC garantit, c'est que la page Web que vous consultez provient vraiment du site Web dont le nom figure dans la barre d'URL.
Vous n'en avez pas besoin: c'est juste un habbit hérité. Jetez un oeil à Perspectives du projet
L'ensemble des connexions https que vous rencontrerez se décompose en deux sous-ensembles disjoints:
- Ceux dont vous vous souciez: sites financiers, e-mail, travail, stockage dans le cloud pour vos sauvegardes… tout site où une connexion compromise vous coûtera de l'argent, des données, du temps, une aggravation, la compromission d'autres sites (la principale raison pour laquelle l'e-mail est sur la liste - mot de passe réinitialise), etc.
- Ceux dont vous ne vous souciez pas: la plupart des sites là-bas, où la sécurité n'est pas un problème et ils pourraient tout aussi facilement utiliser http simple pour tout ce que vous aimez.
Pour ceux qui vous intéressent, vous pouvez cliquer sur l'icône de cadenas dans la barre d'adresse et voir quelle autorité de certification certifie cette connexion. Vous pouvez même fouiller dans les algorithmes utilisés, les dates des certificats et bien d'autres détails, si cela vous intéresse.
Pour ceux dont vous ne vous souciez pas, eh bien, vous ne vous en souciez pas! La session a été détournée? Un CA contrôlé par un gouvernement désagréable vous dérange? Et alors? Il n'y a pas de problème de sécurité et cela n'a pas d'importance.
Donc, peu importe que toutes ces autorités de certification soient présentes. Lorsque cela compte, vous pouvez facilement vous assurer que votre connexion est certifiée par une autorité de certification de confiance. La présence de tous ces autres n'est pas pertinente.
Vous avez de la chance si vous pouvez identifier l'autorité de certification que vous pouvez désactiver ou désactiver. La plupart du temps, le laisser tel quel est le meilleur moyen d'éviter tout problème inutile que vous pourriez rencontrer à l'avenir si vous désactiviez une autorité de certification.
Si vous êtes inquiet pour un virus ou similaire, améliorez ou obtenez un bon antivirus.