Змінення політик довіри сертифікатів
Сертифікати широко використовуються для захисту електронної інформації. Наприклад, сертифікат може знадобитися для підписування електронних листів, шифрування документа або під’єднання до захищеної мережі. Для кожної задачі застосовується відповідна політика довіри, яка визначає, чи дійсний сертифікат для такої задачі. Сертифікат може бути дійсним для певних задач і недійсним для інших.
У системі macOS використовується низка політик довіри для визначення надійності сертифіката. Ви можете вибирати різні політики для кожного сертифіката, що дозволить вам краще керувати їх оцінюванням.
ПОЛІТИКА ДОВІРИ | ОПИС |
---|---|
Використовувати стандартні «Системні параметри» або значення не вказано | Використовувати стандартні настройки для сертифіката |
Завжди довіряти | Ви довіряєте автору програми та хочете завжди надавати доступ до сервера або програми. |
Ніколи не довіряти | Ви не довіряєте автору програми і не хочете надавати доступ до сервера або програми. |
Протокол захищених з’єднань (SSL) | Для успішного встановлення з’єднання ім’я в сертифікаті сервера має відповідати імені вузла DNS. Для клієнтських сертифікатів SSL перевірка імені вузла не виконується. За наявності поля розширеного використання ключа воно має містити відповідне значення. |
Захищена пошта (S/MIME) | Електронна пошта використовує сертифікат S/MIME, щоб безпечно підписувати та шифрувати повідомлення. У сертифікаті має бути вказана адреса електронної пошти користувача та включені поля використання ключа. |
Розширений протокол аутентифікації (EAP) | У разі з’єднання з мережею, яка потребує автентифікації 802.1X, ім’я в сертифікаті сервера має відповідати імені вузла DNS. Імена вузлів клієнтських сертифікатів не перевіряються. Якщо наявне поле розширеного використання ключа, воно має містити відповідне значення. |
Захист IP (IPSec) | Коли сертифікати використовуються для захисту зв’язку за інтернет-протоколами (наприклад, під час встановлення VPN-з’єднання), ім’я в сертифікаті сервера має відповідати імені вузла DNS. Імена вузлів клієнтських сертифікатів не перевіряються. Якщо наявне поле розширеного використання ключа, воно має містити відповідне значення. |
Підписування коду | Сертифікат має містити настройки використання ключа, які чітко дозволяються підписування коду. |
Проставлення часових міток | Ця політика визначає придатність сертифіката для створення надійної часової мітки, яка перевіряє, щоб цифровий підпис було поставлено в певний час. |
Основна політика X.509 | Ця політика визначає дійсність сертифіката щодо основних вимог, наприклад, що сертифікат видав дійсний центр сертифікації, але без зауважень про мету або дозволене використання ключа. |