I siti sono firmati con una VeriSign Classe 3 G5 CA errata

4

Oggi, in precedenza, ho riscontrato un errore SSL durante il tentativo di accedere a twitter.com in Chrome. Analizzando il problema, ho riscontrato lo stesso errore durante l'accesso a discussioni.apple.com. La maggior parte degli altri siti HTTPS funzionava correttamente. Cercando Safari, si sono verificati gli stessi errori ma mi è stata data l'opzione di continuare a prescindere.

All'inizio pensavo che fosse questa sicurezza Apple problema di aggiornamento , soprattutto perché era suggerì che Cyberduck con Amazon S3 lo stava causando e che avevo accesso a S3 con la versione interessata solo un paio di giorni fa. Tuttavia, ricordo che in precedenza avevo affrontato questo problema, e guardando Keychain oggi non ho visto i certificati duplicati che venivano segnalati da altri.

Dopo ulteriori indagini, twitter.com sul mio iMac è firmato dal seguente certificato:

VeriSign Class 3 Public Primary Certification Authority - G5
Serial:  35 97 31 87 F3 87 3A 07 32 7E CE 58 0C 9B 7E DA
SHA1:  F4 A8 0A 0C D1 E6 CF 19 0B 8C BC 6F BC 99 17 11 D4 82 C9 D0
MD5: 32 A1 9C 63 E8 B6 02 89 3C 67 48 29 D0 40 AB C8

Secondo Symantec (e il mio portachiavi), questo non è il certificato corretto . Il mio Macbook e un collega iMac mostrano twitter.com firmato dal certificato corretto:

VeriSign Class 3 Public Primary Certification Authority - G5
Serial:  18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
SHA1:  4E B6 D5 78 49 9B 1C CF 5F 58 1E AD 56 BE 3D 9B 67 44 A5 E5
MD5:  CB 17 E4 31 67 3E E2 09 FE 45 57 93 F3 0A FA 1C

Cose simili stanno accadendo su altri siti Verisign che ho provato (apple.com e sottodomini, verisign.com), ad eccezione di Symantec.com, che è firmato con un certificato CA differente, ma non è ancora corretto.

VeriSign Class 3 Public Primary Certification Authority - G5
Serial:  25 0C E8 E0 30 61 2E 9F 2B 89 F7 05 4D 7C F8 FD
SHA1:  32 F3 08 82 62 2B 87 CF 88 56 C6 3D B8 73 DF 08 53 B4 DD 27
MD5:  F9 1F FE E6 A3 6B 99 88 41 D4 67 DD E5 F8 97 7A

Questo è firmato dal cert corretto su ogni altro computer su cui ho provato. Nessun altro CA sembra essere effettuato. Sono passato da cablato a wireless sul mio iMac ma il problema persisteva.

Questo sembra un sintomo di un attacco MITM, ma sembra essere locale al mio iMac poiché nessun altro computer sulla rete lo sta mostrando, il che sembra una contraddizione diretta.

Sono completamente confuso e molto preoccupato. Ho navigato su iMac e sto eseguendo una scansione antivirus su di esso ora. Cosa sta succedendo? Che passi posso fare da qui?

    
posta Theron Luhn 08.05.2015 - 23:31
fonte

1 risposta

1

Non farti prendere dal panico.
Sono solo diversi modi di costruire una catena di certificati di fiducia. Entrambi terminano in una CA radice affidabile. Ma una volta con e una volta senza passare per un ulteriore certificato intermedio.

Esiste più di un certificato con il CN "VeriSign Classe 3 Public Primary Certification Authority - G5"

E SSL-Tools.net ha una lista di loro .

Ci sono i tuoi F4A8 (primi due byte di hash SHA-1). Si scopre che è un certificato CA non autofirmato.

C'è anche il tuo certificato 4EB6 lì. Si scopre che uno è una CA radice autofirmata.

E anche il tuo 32F3 cert è lì. Quello è di nuovo un certificato CA non autofirmato.

Ora se il client tratta uno qualsiasi di questi tre come un ancoraggio di fiducia dipende dal cliente. Trust Anchor significa: Ok, questo è abbastanza buono per me. Non farò ulteriori elaborazioni. Ci sono diversi negozi di fiducia su diversi clienti. (Microsoft, Mozilla, Apple sono alcuni dei più noti negozi di fiducia.)

Che ora?
Quindi quali conseguenze pratiche da questo? Controlla il tuo sito con laboratori SSL . (Assicurati di selezionare la casella di controllo "Non mostrare risultati su schede"). Soprattutto: assicurati che non vi siano errori di catena.

Ulteriori letture
La tua domanda è molto, molto vicina a quella discussa qui:
StackOverflow: Errore SSL Urllib2 Python
Due dei certificati CA sono uguali. E la risposta di Steffen Ullrich è molto buona.

    
risposta data 09.05.2015 - 11:03
fonte

Leggi altre domande sui tag