Изменение условий доверия сертификатов
Сертификаты используются для обеспечения безопасности электронной информации. Например, сертификат может позволить Вам подписывать сообщения электронной почты, шифровать документы или подключаться к безопасной сети. Каждый тип использования регулируется политикой доверия, которая определяет, соответствует ли сертификат данному типу использования. Сертификат может быть действительным не для всех пользователей.
В macOS использует ряд политик доверия, чтобы определить, является ли сертификат доверенным. Для каждого сертификата Вы можете выбрать индивидуальную политику доверия, повысив контроль над процессом проверки сертификатов.
Открыть программу «Связка ключей»
КРИТЕРИИ ДОВЕРИЯ | ОПИСАНИЕ |
---|---|
«Настройки системы» или значение не указано | Использовать для сертификата настройку по умолчанию. |
Всегда доверять | Вы доверяете автору и хотите всегда предоставлять доступ к серверу или программе. |
Никогда не доверять | Вы не доверяете автору и не хотите предоставлять доступ к серверу или программе. |
SSL (Secure Sockets Layer) | Для успешного подключения имя в сертификате сервера должно соответствовать имени DNS-хоста. Проверка имени хоста не выполняется для сертификатов клиента SSL. При наличии поля использования расширенного ключа в нем должно быть указано соответствующее значение. |
Безопасная почта (S/MIME) | Электронная почта использует S/MIME для безопасной подписи и шифрования сообщений. В сертификате должен быть указан адрес электронной почты пользователя и должны быть включены поля использования ключей. |
EAP (Extensible Authentication Protocol) | При подключении к сети, требующей идентификации 802.1X, имя в сертификате сервера должно соответствовать имени DNS-хоста. Имена хостов для сертификатов клиентов не проверяются. При наличии поля использования расширенного ключа в нем должно быть указано соответствующее значение. |
IP Security (IPSec) | Когда сертификаты используются для обеспечения безопасности IP-трафика (например, при установлении подключения VPN), имя в сертификате сервера должно соответствовать имени DNS-хоста. Имена хостов для сертификатов клиентов не проверяются. При наличии поля использования расширенного ключа в нем должно быть указано соответствующее значение. |
Подписывание кода | В сертификате должны содержаться настройки использования ключа, которые однозначно разрешают подписывание кода. |
Присвоение временных меток | Эта политика определяет, может ли сертификат использоваться для создания надежной временной метки, подтверждающей, что цифровая подпись была установлена в то или иное время. |
Стандартный алгоритм X.509 | Эта политика определяет действительность сертификата относительно базовых требований (например, сертификат должен быть выдан доверенным бюро сертификации), но без учета назначения или допустимых вариантов использования ключей. |