Zmienianie zasad określania zaufania certyfikatów na Macu
Certyfikaty są powszechnie stosowane do zabezpieczania danych elektronicznych. Na przykład, certyfikat może pozwalać na podpisywanie wiadomości email, szyfrowanie dokumentów lub nawiązywanie połączeń z zabezpieczoną siecią. Każde z tych zastosowań ograniczone jest zasadami zaufania, które definiują, czy certyfikat jest zdatny do użytku w danym przypadku. Dany certyfikat może być odpowiedni do niektórych zastosowań, do innych zaś nie.
macOS ma wiele wbudowanych zasad zaufania, według których określa, czy dany certyfikat jest godny zaufania. Możesz wybrać inne zasady dla każdego certyfikatu, uzyskując w ten sposób większą kontrolę nad sposobem sprawdzania certyfikatów.
Zasada zaufania | Opis |
|---|---|
Użyj domyślnych ustawień systemowych (lub brak wyboru) | Użyte zostaną domyślne ustawienia dla danego certyfikatu. |
Zawsze ufaj | Ufanie autorowi i dopuszczanie zawsze dostępu do danego serwera lub aplikacji. |
Nigdy nie ufaj | Nie ufanie autorowi i nie dopuszczanie dostępu do danego serwera lub aplikacji. |
SSL (Secure Sockets Layer) | Połączenie zostanie nawiązane tylko wtedy, gdy nazwa znajdująca się w certyfikacie będzie zgodna z nazwą DNS serwera. Sprawdzanie nazwy serwera nie jest dokonywane w przypadku certyfikatów klienckich SSL. Jeśli istnieje dodatkowe pole użycia klucza, musi ono mieć odpowiednią zawartość. |
Bezpieczna poczta (S/MIME) | Standard S/MIME używany jest do bezpiecznego podpisywania i szyfrowania wiadomości email. Adres email użytkownika musi być obecny w certyfikacie, wraz z określonymi polami użycia klucza. |
Rozszerzone uwierzytelnienie (EAP) | Gdy łączysz się z siecią wymagającą uwierzytelnienia 802.1X, nazwa w certyfikacie serwera musi być zgodna z nazwą DNS serwera. Nazwy hosta w certyfikatach klienta nie są sprawdzane. Jeśli istnieje dodatkowe pole użycia klucza, musi ono mieć odpowiednią zawartość. |
Ochrona IP (IPsec) | Jeśli certyfikat używany jest do zabezpieczenia przesyłania danych za pośrednictwem protokołu IP (np. przy połączeniu VPN), nazwa serwera w certyfikacie musi odpowiadać jego nazwie DNS. Nazwy hosta w certyfikatach klienta nie są sprawdzane. Jeśli istnieje dodatkowe pole użycia klucza, musi ono mieć odpowiednią zawartość. |
Podpisywanie kodu | Ustawienia użycia klucza certyfikatu muszą osobno zezwalać na użycie go do podpisywania kodu. |
Znakowanie czasem | Ta zasada określa, czy dany certyfikat może być wykorzystany do tworzenia zaufanego znacznika czasu, potwierdzającego czas użycia podpisu cyfrowego. |
Zasady podstawowe X.509 | Ta zasada określa ważność certyfikatu zgodnie z podstawowymi wymaganiami, takimi jak wydanie przez zaufany urząd certyfikacji, ale bez brania pod uwagę zastosowania oraz dozwolonego użycia klucza. |