Dovrei preoccuparmi che Google non si fidi più del certificato di CA radice di Symantec specifico che si trova anche sul mio sistema Windows?

13

Questo è correlato a questa altra domanda che rimanda a Google che si spinge a diffidare del certificato radice" CA primario pubblico di Classe 3 "gestito da Symantec Corporation, su Chrome, Android e prodotti Google , come spiegato in questo post del blog di Google .

Il post sul blog di Google ha affermato che Google apporterà questo cambiamento "nel corso delle prossime settimane".

Google cita tra le ragioni della richiesta che:

Symantec has informed us they intend to use this root certificate for purposes other than publicly-trusted certificates.

e

Symantec is unwilling to specify the new purposes for these certificates

Il post del blog fornisce i dettagli per questo certificato come:

Friendly Name: Class 3 Public Primary Certification Authority
Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
...
MD2 Version
Fingerprint (SHA-1): 74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2

Quindi ho controllato le CA radice affidabili sul mio Windows 7 Pro (utilizzando certmgr.msc ) e il Nome descrittivo e il Soggetto corrispondono ai dettagli di una CA radice affidabile sul mio sistema. Inoltre, l'impronta digitale SHA-1 pubblicata da Google corrisponde a Thumbprint nella CA sul mio sistema.

Le mie domande sono le seguenti:

  1. La decisione di Google significa che sarebbe prudente anche eliminare o disabilitare la CA principale dal mio computer?
  2. Oppure Microsoft Windows potrebbe avere qualche processo automatico che smetterebbe di fidarsi dello stesso certificato (ad esempio in IE)?
  3. Inoltre, invece di eliminare la CA radice, potrei andare alle sue proprietà e magari aggiornarla con "Disabilita tutti gli scopi per questo certificato". Ci sarebbero dei benefici dalla scelta di questa opzione?
posta SherlockEinstein 18.12.2015 - 20:53
fonte

3 risposte

12
  1. Does Google's decision mean that it would be prudent for me to also delete or disable the root CA from my machine?

Non lo so. Symantec non è di grande aiuto. In teoria dovrebbe non fare male, ma qualcosa sembra essere rotto nei client .

Inoltre: i venditori non sembrano essere d'accordo su questo.

Ho creato uno script veloce e analizzato quattro negozi di fiducia (Apple, Java, Microsoft, Mozilla) che lo strumento di test SSL di ssilze viene fornito con:

$ grep -rl 'Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority$' | xargs -- grep -A2 -- 'Serial Number'
apple.truststore/108.cer.txt:        Serial Number:
apple.truststore/108.cer.txt-            70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
apple.truststore/108.cer.txt-    Signature Algorithm: md2WithRSAEncryption
--
apple.truststore/164.cer.txt:        Serial Number:
apple.truststore/164.cer.txt-            3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
apple.truststore/164.cer.txt-    Signature Algorithm: sha1WithRSAEncryption
--
java.truststore/143.cer.txt:        Serial Number:
java.truststore/143.cer.txt-            3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
java.truststore/143.cer.txt-    Signature Algorithm: sha1WithRSAEncryption
--
java.truststore/61.cer.txt:        Serial Number:
java.truststore/61.cer.txt-            70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
java.truststore/61.cer.txt-    Signature Algorithm: md2WithRSAEncryption
--
microsoft.truststore/15.cer.txt:        Serial Number:
microsoft.truststore/15.cer.txt-            70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
microsoft.truststore/15.cer.txt-    Signature Algorithm: md2WithRSAEncryption

Quindi: (se i negozi sslyze sono aggiornati) Apple ha entrambi, Java ha entrambi, Microsoft ne ha uno. Mozilla non ne ha nessuno.

Sidenote: sslyze viene fornito anche con un trust store "Google", l'ho saltato perché non so cosa sia. (Forse per i telefoni Android?) Per prima cosa, Chrome non utilizza il proprio negozio di fiducia. Si affida al negozio di fiducia del sistema operativo. E questa potrebbe essere la radice del problema qui. Non possono semplicemente rimuovere una CA, ma devono revocarla esplicitamente. - Mozilla Firefox è più facile da questo punto di vista, dal momento che gestisce il proprio negozio di fiducia.

  1. Or might Microsoft Windows have some automated process that would also stop trusting the same certificate (in for example IE)?

Sì. Hanno un meccanismo di aggiornamento automatico della CA . E regolarmente apportano modifiche. Ad esempio hanno annunciato l'intenzione di rimuovere circa 20 CA solo oggi.

  1. Also, instead of deleting the root CA, I could go to it's properties and maybe update it with "Disable all purposes for this certificate". Would there be any benefits from choosing this option instead?

Assolutamente. O quello o spostando il certificato nell'archivio Untrusted Certificates . Altrimenti verrà semplicemente aggiunto nuovamente dal processo automatizzato.

Aggiornamento 2015-12-30W. Oh caro, oh caro, oh caro.

Ryan Sleevi ha creato un altro post sul blog. Questa volta in privato e non come un portavoce di Google e ha queste (scoraggianti) parole da dire al riguardo:

December 2015: With only one week’s notice, Symantec requests that a root certificate trusted on billions of devices be revoked, so that Symantec will no longer be obligated to abide by the Baseline Requirements for that root. Without this notice, Symantec’s use of their root in this manner would have been in violation of their agreements with root programs, putting at risk every other root certificate they operate and every single customer of theirs. Yet, even with this notice, it will likely take years to reduce the number of users and devices at risk from certificates issued by Symantec from this root to a something quantified in the tens of millions.

Passi per esplodere il pacchetto apple.pem

Ho eseguito questi comandi per suddividere il pacchetto PEM in singoli file PEM:

[~] $ wc apple.pem
  4903   5279 303714 apple.pem
[~] $ mkdir apple.truststore
[~] $ cd apple.truststore/
[~/apple.truststore] $ awk 'split_after==1{++n;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".cer"}' < ../apple.pem
[~/apple.truststore] $ for RAWCERTFILE in *.cer; do openssl x509 -in $RAWCERTFILE -text 2>&1 > $RAWCERTFILE.txt; done
    
risposta data 18.12.2015 - 21:50
fonte
6

Google segue le indicazioni fornite dall'emittente Symantec. Dettagli qui.

Inoltre, Mozilla (Firefox) ha annunciato la rimozione di questo certificato di CA Root Trust e altri simili nel settembre del 2014 qui . Hanno basato questa decisione sulla forza chiave limitata della chiave di firma obsoleta.

Di conseguenza, dovresti considerare di fare come hanno fatto sia Mozilla sia Google, ed è raccomandato da Symantec.

    
risposta data 18.12.2015 - 21:44
fonte
5

Il modo in cui sono formulati, i certificati non pubblicamente attendibili , può suggerire (e sembra che Google voglia suggerirci), che questa CA possa essere utilizzata da intercettazione / rappresentazione di situazioni quando richiesto per farlo, forse con mezzi legali. Il fatto che Google sia preoccupato (se una società può mai essere) potrebbe anche significare che questi certificati non saranno nemmeno rivelati dalla registrazione della trasparenza del certificato e probabilmente useranno anche gli utenti dell'infrastruttura google.

La PKI basata su CA è piuttosto fragile: centinaia di CA possono rilasciare certificati per un singolo nome e, mentre la maggior parte di essi è responsabile solo di una minoranza dei certificati emessi, in alcuni gruppi regionali o culturali, alcuni possono essere più popolari di tutti gli altri, quindi la revoca della fiducia per ognuno di essi può avere effetti di ampia portata su un numero limitato di utenti.

È sempre una brutta notizia per gli altri utenti della stessa CA quando una grande classe di utenti non riconoscerà i loro certificati, quindi questo può allontanare alcuni clienti. Se ciò accade, può essere facile seguire il parere di google, ma la difficoltà è che non puoi dire quale altra cosa si infrange tra i tuoi servizi.

Penso che sia più una trovata pubblicitaria da parte di Google a legare la mano di Symantec per rilasciare più informazioni, o smettere di andare avanti con questo piano che non hanno spiegato a google, qualunque cosa serva. Se vuoi essere certo, e puoi risolvere tutti i problemi di verifica dei certificati, potrebbe essere più prudente seguire Google su questo. Ma questo è molto più di un'opinione personale che può essere supportata tecnicamente.

    
risposta data 18.12.2015 - 21:23
fonte

Leggi altre domande sui tag