ターゲットドメインの偽の信頼できる個人/ルートSSL証明書を検出する方法

Question

誰かが偽のSSL証明書を追加できます。信頼できる証明書コレクションに追加します。これらの偽物をどのように検出できますか？証明書が公式であることを確認するにはどうすればよいですか？比較するリストはありますか？私は（バイオリンによって作成された）偽の1法的&のスクリーンショットを追加しました

：

ADDITION： 機密SSL通信が安全であることを確認するには、使用する必要があります共通の信頼できる当局の証明書。誰かがFiddlerをインストールした場合、または悪意のあるソフトウェアが自身の証明書をインストールした場合、私はクライアントのPCで通信試行をキャンセルしてアプリに警告する必要があります。

ADDITION 2 私は、エンドユーザのPC & Googleドキュメント間の通信を気に。 Googleドキュメントのウェブサイトの公開証明書が「Googleインターネット機関」であることがわかりました。私はそれをユーザーのPC上のGoogle Docsの&証明書と比較しなければならないと思う。

最終単語：

私は単純にすべてのSSLコミュ前にターゲットサイトのオリジナルのSSL証明書対標的部位のために使用された証明書を比較する必要があります。

さらに詳しい情報：This link

Answer 1

単一の "公式のリスト" はありません。リストを他の人のリストと比較する必要があります。

• Windowsには、Internet Explorerで使用される独自のリストがあります。

• Firefoxは独自のリストを保持しています。

Chrome、Safari、Operaについてよくわかりません。

しかし、あなたのリストを他のリストと比較する必要があります。たとえば、同僚のコンピュータなどから正しいことが分かっているリストと比較する必要があります。

Answer 2

各アプリケーションは、信頼できるルート証明機関のリストを維持しています（または他のアプリケーションに依存しています）。 Windowsには独自のリストがあり、OpenSSLには独自のリストがあり、すべての主要なブラウザには独自のリストがあります（Chromeはメモリを使用する場合はWindowsを使用します）。

Windowsアプリケーションを作成する場合は、定期的に更新されるため、システムリストに頼ることをお勧めします（独自のリストを持っている場合は、それを維持する必要があります）。

信頼できる機関によって発行された証明書が信頼できる証明書を意味するものではありません。一部の証明書はハッキングによって発行されます（これは、少なくとも過去2年間に2つの中間CAで発生しました）、他のユーザーの秘密鍵が漏洩し、その証明書を取り消す必要が生じます。失効ステータスは、CRL（CAによって公開された失効リスト）を調べるか、OCSP（オンライン証明書ステータスプロトコル）を使用して確認できます。 信頼できるCAのリストがどこにあっても、それらを使用する必要があります。

Answer 3

できません。ユーザーがそれを追加した場合、それは彼女がそれを信頼していることを意味します。また、証明書は "公式"リストの一部でなくても有効です。