Nach zwei kürzlich erschienenen Slashdot-Artikeln ( Nr. 1 Nr. 2 ) über fragwürdige Stammzertifikate, die auf Computern installiert sind, habe ich mich entschlossen, mir genauer anzusehen, was ich auf meinen Computern installiert habe.
(Ich verwende aktuelle Versionen von Chrome unter Win7, die meines Wissens die Windows-Liste der Zertifizierungsstellen verwenden.)
Was ich gefunden habe, hat mich wirklich überrascht.
- Zwei relativ saubere Maschinen hatten sehr unterschiedliche Listen von Zertifizierungsstellen.
- Jeder hatte eine Reihe von Zertifizierungsstellen, die 1999 und 2004 abgelaufen waren!
- Die Identität vieler Zertifizierungsstellen ist nicht leicht zu verstehen.
Ich habe auch gesehen, dass viele Zertifikate 2037, kurz vor dem UNIX-Rollover, ablaufen, vermutlich um derzeit unbekannte Fehler vom Typ Y2K38 zu vermeiden. Aber andere Zertifikate sind viel länger gut.
Ich habe mich umgesehen, konnte aber überraschenderweise keine kanonische Liste finden, deren Zertifizierungsstellen allgemein akzeptiert werden.
- Wenn ich ein MITM-Rogue-Zertifikat auf meinem Computer hätte, wie würde ich das überhaupt wissen?
- Gibt es eine Liste "akzeptierter" Zertifikate?
- Kann ich die abgelaufenen Zertifizierungsstellen sicher entfernen?
- Kann ich wissen, ob / wann ich jemals eine Zertifizierungsstelle für HTTPS verwendet habe?