Nel contesto di SSL Labs dov'è il "trust store"?

Naviga le tue risposte
3

Quando sto testando un sito con link mi sto facendo capire:

Potrestispiegare:

  • Perchécisonoduepercorsi?Dadovevengono,dovesonoconfigurati?
  • Checos'èquesto"negozio di fiducia" menzionato? È nel mio browser? Sul server che sto testando? Sul server SSLLabs.com?

Alla fine ricevo una "A":

MaChromesilamentaancora:

Sospetto che questo sia dovuto alla catena di fiducia nella prima immagine, ma non sono sicuro di come "correggerlo". Ho letto tutti i link in questa domanda quindi capisco le basi, ma la mia situazione particolare non è coperta (o non riesco a collegare i punti).

    
posta Andrew Savinykh 03.07.2015 - 00:03
fonte

3 risposte

4

Why are there two paths? Were do they come from, where are they configured?

Una firma viene creata utilizzando la chiave pubblica del certificato emittenti. Due certificati possono contenere la stessa chiave pubblica (tipica dopo la nuova emissione di un certificato) e questo porta a un percorso di fiducia alternativo se entrambi questi certificati CA sono inclusi nel trust store.

What is this "trust store" mentioned? Is it in my browser? On the server I'm testing? On the ssllabs server?

Si trova sul server SSLLabs in cui tenta di utilizzare un trust store simile ai browser. Ovviamente il vero negozio di fiducia usato dal browser dipende dal browser e / o dal sistema operativo, quindi non riflette completamente ciò che accade nel browser.

But chrome still complains:

Difficile dire cosa sta realmente succedendo, ma la firma di un certificato nel trust store non è rilevante, solo le firme dei certificati leaf e intermediate. Potrebbe essere un falso positivo .

    
risposta data 03.07.2015 - 00:41
fonte
3

1 - Il "negozio fidato" dipende dal tuo browser / sistema operativo. Per Firefox, è all'interno di firefox, per Chrome su Windows, è il trust store delle tue finestre

Ci sono due percorsi perché ssllabs conosce due certificati che possono essere root. Se il tuo visitatore ha uno dei due nel suo negozio di fiducia, il tuo certificato sarà valido.

2 - Chrome potrebbe lamentarsi perché in caso di bug debian:

link

Non è perché i due percorsi e SHA-1 sul certificato radice non producono quell'errore:

Note: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.

link

    
risposta data 03.07.2015 - 00:34
fonte
1

SSL Labs utilizza l'archivio di fiducia di Mozilla

  • What is this "trust store" mentioned? Is it in my browser? On the server I'm testing? On the ssllabs server?

L'archivio fidato si trova sul server SSL Labs. Usano il negozio fidato di Mozilla. Dettagli sotto.

  • Why are there two paths? Where do they come from, where are they configured?

Poiché entrambi i certificati StartCom sono all'interno del negozio fidato di Mozilla . SHA-1 lo ha firmato E il SHA-256 ha firmato uno .

Labs SSL lo dice nella parte inferiore di un risultato della scansione con problemi di attendibilità :

Unknown Certificate Authority
In order for trust to be established, we must have the root certificate of the signing Certificate Authority in our trust store. SSL Labs does not maintain its own trust store; instead we use the store maintained by Mozilla. [...]

Quindi: i truststor di Microsoft, Apple o Java NON sono considerati.

Altri archivi attendibili sulla roadmap per SSL Labs

Ma è sulla tabella di marcia, il lead del progetto Ivan Ristic sul forum SSL Labs :

Re: ComSign CA is not in trust store but is trusted by Internet Explorer and Chrome Ivan Ristic posted on Nov 14, 2014 1:22 AM (in response to Zeev Tarantov)
Not at the moment. SSL Labs uses the Mozilla root store, so if the root is not there we report it as not trusted. I anticipate that in the next major version we will report trust for each major root store separately.

Chrome utilizza l'archivio sicuro del sistema operativo

But Chrome still complains

Chrome utilizza il trust store del sistema operativo. NON mantiene il proprio negozio di fiducia. Ecco dove può essere risolto.

Sembra che DOVREBBE aver funzionato. Poiché, come ha sottolineato Steffen Ullrich, la firma dell'ancora di fiducia non ha importanza. Solo sulle intermedie. E gli intermedi sono contrassegnati come "Inviato dal server". Quindi DOVREBBE aver funzionato.

Forse il tuo Windows ha memorizzato nella cache i certificati intermedi e in realtà non usa ciò che il server invia.

E ci sono in realtà almeno due separati "StartCom Class 2 Primary Intermediate Server CA "certificati . Di nuovo, uno con SHA1, l'altro con SHA256.

StartCom elenca un modo per riparare questo sui loro forum:

This issue (with the existing infrastructure of StartCom CA), can be solved by the clients (the visitors of your site) and the software vendors (Google and Microsoft). - A client will need to manually remove our SHA1 signed Intermediate CA.
In Chrome, write in the url bar "Chrome://settings", scroll down and click on "Show Advance Settings...", continue to scroll down, reach HTTPS/SSL and click on "Manage certificates...". Windows' certificate manager will show up, go to "Intermediate Certification Authorities", find "StartCom Class...". You can just remove it and Windows will re-import the SHA2 signed Intermediate CA the next time you will visit a site without a full certificate chain.

C'è uno screenshot aggiuntivo sul loro sito.

    
risposta data 03.07.2015 - 08:42
fonte

Leggi altre domande sui tag

È possibile che una pagina Web registri le sequenze di tasti? Un Content-Type: text / plain intestazione protegge contro XSS nei browser?