Modificarea politicilor de încredere ale certificatelor pe Mac
Certificatele sunt o metodă frecvent utilizată de securizare a informațiilor electronice. De exemplu, certificatele vă pot permite să semnați un e-mail, să criptați un document sau să vă conectați la o rețea securizată. Fiecare tip de utilizare este supus unei politici de încredere, care stabilește dacă un certificat este valabil pentru utilizarea respectivă. Un certificat poate fi valabil pentru anumite utilizări, dar nu pentru altele.
macOS utilizează o serie de politici de încredere pentru a stabili dacă un certificat este de încredere. Puteți alege o politică diferită pentru fiecare certificat, pentru a avea mai mult control asupra modului de evaluare a certificatelor.
Politică de încredere | Descriere |
|---|---|
Utilizează opțiunile implicite ale sistemului sau nicio valoare specificată | Utilizați configurarea implicită a certificatului. |
Acordă încredere întotdeauna | Aveți încredere în autor și permiteți întotdeauna accesul la server sau la aplicație. |
Nu acorda încredere niciodată | Nu aveți încredere în autor și nu permiteți accesul la server sau la aplicație. |
SSL (Secure Sockets Layer) | Numele din certificatul unui server trebuie să corespundă cu numele de gazdă DNS pentru a stabili o conexiune. Numele de gazdă nu sunt verificate în cazul certificatelor de client SSL. Dacă există un câmp de utilizare a cheii extinse, acesta trebuie să conțină valoarea corectă. |
E-mail securizat (S/MIME) | E-mail utilizează S/MIME pentru semnarea și criptarea în siguranță a mesajelor. Adresa de e-mail a utilizatorului trebuie să apară în certificat și trebuie incluse câmpuri de utilizare a cheii. |
Autentificare extensibilă (EAP) | Când vă conectați la o rețea care solicită autentificarea 802.1X, numele din certificatul serverului trebuie să corespundă cu numele de gazdă DNS. Numele gazdelor pentru certificatele clientului nu sunt verificate. Dacă există un câmp de utilizare a cheii extinse, acesta trebuie să conțină valoarea corectă. |
Securitate IP (IPsec) | Când sunt utilizate certificate pentru securizarea comunicațiilor IP (de exemplu, când se stabilește o conexiune VPN), numele din certificatul serverului trebuie să corespundă cu numele gazdei DNS. Numele gazdelor pentru certificatele clientului nu sunt verificate. Dacă există un câmp de utilizare a cheii extinse, acesta trebuie să conțină valoarea corectă. |
Semnare cod | Certificatul trebuie să conțină configurări de folosire a cheii care permit în mod explicit semnarea codată. |
Marcare temporală | Această politică determină dacă certificatul poate fi utilizat pentru a crea un marcaj temporal de încredere, care verifică dacă o semnătură digitală a avut loc la un moment dat. |
Politică de bază X.509 | Această politică determină validitatea certificatului în raport cu cerințe de bază, cum ar fi dacă este emis de o autoritate de certificare validă, dar fără să fie preocupată de scopul acestuia sau de utilizarea permisă a cheii. |