- La navigazione tipica su www.BankOfAmerica.com mi ha generato un errore ERR_CERT_AUTHORITY_INVALID. Questo era con una versione di produzione aggiornata di Google Chrome per Mac.
- Ho provato con Safari e ho ottenuto lo stesso risultato.
- Il certificato è valido fino al 2016, quindi non sembra essere un problema di scadenza.
- Sembra che l'autorità CA SSL G3 di classe EV di Symantec - G3 sia ritenuta non valida. Cercando di navigare su twitter.com e sul link , viene visualizzato lo stesso avviso. Le connessioni HTTPS ad altri siti (con GeoTrust, Google e altre CA) funzionano bene.
- OTOH, l'esecuzione di uno strumento di controllo SSL (su sslshopper.com) mostra che tutto è in ordine.
Puoi riprodurre il comportamento sopra? Ricevi avvisi SSL nei tuoi browser su siti come bankofamerica.com e twitter?
Puoi spiegare cosa sta succedendo?
Per quanto riguarda il mio livello di esperienza, tieni presente che non sono un dev ma un utente finale.
Aggiornamento: - I browser Mac OS X ottengono le CA root attendibili dal sistema operativo e questo è iniziato subito dopo aver installato un aggiornamento della sicurezza Apple. Quindi confermare il comportamento richiederà probabilmente OS X 10.8.5 con le ultime patch di sicurezza.
-
La sfiducia inizia con la CA radice, "Autorità di certificazione primaria pubblica di Classe 3 VeriSign - G5". Vedo che una CA con questo nome esatto appare nel sistema operativo (il database "Keychain" di Mac) come certificato valido e attendibile, ma il suo numero di serie (e quindi le impronte digitali SHA-1 e MD5) sono completamente diversi da ciò che i browser vedono .
-
Mi chiedo, quindi, se l'ultima patch di sicurezza di Apple abbia rotto una buona fetta del web. Ironia della sorte, ha anche rotto l'aggiornamento del software OS di Apple perché si basano anche su VeriSign. Anch'io annuserò i forum di Apple.
-
Vale la pena notare che Chrome afferma che "il certificato non è attendibile" e "la tua connessione è crittografata con crittografia obsoleta".
-
Questo non è quello che intendevo fare domenica mattina ... ma AFAIK il modo più semplice per violare SSL / TLS è per me come utente dire "eh, aggiungerò questa CA ". Quando ha a che fare con la mia banca e un terzo del web, procedo con cautela.