Perché Symantec / Verisign CA appare come un'autorità non valida? [chiuso]

30
  1. La navigazione tipica su www.BankOfAmerica.com mi ha generato un errore ERR_CERT_AUTHORITY_INVALID. Questo era con una versione di produzione aggiornata di Google Chrome per Mac.
  2. Ho provato con Safari e ho ottenuto lo stesso risultato.
  3. Il certificato è valido fino al 2016, quindi non sembra essere un problema di scadenza.
  4. Sembra che l'autorità CA SSL G3 di classe EV di Symantec - G3 sia ritenuta non valida. Cercando di navigare su twitter.com e sul link , viene visualizzato lo stesso avviso. Le connessioni HTTPS ad altri siti (con GeoTrust, Google e altre CA) funzionano bene.
  5. OTOH, l'esecuzione di uno strumento di controllo SSL (su sslshopper.com) mostra che tutto è in ordine.

Puoi riprodurre il comportamento sopra? Ricevi avvisi SSL nei tuoi browser su siti come bankofamerica.com e twitter?

Puoi spiegare cosa sta succedendo?

Per quanto riguarda il mio livello di esperienza, tieni presente che non sono un dev ma un utente finale.

Aggiornamento: - I browser Mac OS X ottengono le CA root attendibili dal sistema operativo e questo è iniziato subito dopo aver installato un aggiornamento della sicurezza Apple. Quindi confermare il comportamento richiederà probabilmente OS X 10.8.5 con le ultime patch di sicurezza.

  • La sfiducia inizia con la CA radice, "Autorità di certificazione primaria pubblica di Classe 3 VeriSign - G5". Vedo che una CA con questo nome esatto appare nel sistema operativo (il database "Keychain" di Mac) come certificato valido e attendibile, ma il suo numero di serie (e quindi le impronte digitali SHA-1 e MD5) sono completamente diversi da ciò che i browser vedono .

  • Mi chiedo, quindi, se l'ultima patch di sicurezza di Apple abbia rotto una buona fetta del web. Ironia della sorte, ha anche rotto l'aggiornamento del software OS di Apple perché si basano anche su VeriSign. Anch'io annuserò i forum di Apple.

  • Vale la pena notare che Chrome afferma che "il certificato non è attendibile" e "la tua connessione è crittografata con crittografia obsoleta".

  • Questo non è quello che intendevo fare domenica mattina ... ma AFAIK il modo più semplice per violare SSL / TLS è per me come utente dire "eh, aggiungerò questa CA ". Quando ha a che fare con la mia banca e un terzo del web, procedo con cautela.

posta Drew 12.04.2015 - 18:15
fonte

2 risposte

38

risolto. Il problema è stato effettivamente innescato installando Apple Mavericks / ML Security Update 2015-004. Come accennato in questa nota sulla versione di Apple , includeva gli aggiornamenti al criterio di attendibilità del certificato. C'era un certificato duplicato installato (con un numero di serie errato), rimuovendo risolto il problema.

Il numero di serie del certificato come pubblicato da Apple corrispondeva a quello installato nel repository di certificati System, ma nel repository "Login" c'era un "Autorità di certificazione primaria pubblica di Classe 3 VeriSign - G5". Una volta eliminato, tutto è tornato alla normalità.

C'è ancora un po 'di mistero sul motivo per cui il certificato è apparso nel repository Login, soprattutto perché, come ho appena scoperto, diverse altre persone hanno avuto lo stesso identico problema: link link

    
risposta data 12.04.2015 - 19:27
fonte
4

Ci sono due catene fino a Verisign Class 3 G5. A un certo punto, Verisign stava incatenando a quella radice tramite una catena più lunga, e alcuni sistemi operativi erano confusi quando si camminava verso l'AIA contro il salire sulla catena consegnata dal server al client.

Questo sembra un problema significativo, specialmente dal momento che le proprietà combinate di Symantec sono le più grandi CA di primo livello.

Non ho un Mac, quindi non sono stato in grado di replicare i risultati. Posso confermare che con Safari e Google Chrome in IOS e con SSL Detective in IOS, ho ottenuto i risultati attesi (buoni).

Hai ragione che aggiungere un certificato come affidabile senza conoscerne la provenienza e l'affidabilità è molto pericoloso. Buona chiamata!

    
risposta data 12.04.2015 - 19:30
fonte

Leggi altre domande sui tag