Certificato foglia non riconosciuto

1

Ogni 15 minuti circa ricevo questo messaggio nel mio system.log

Apr 25 22:05:36 Ivans-MacBook-Pro.local apsd[194]: Unrecognized leaf certificate
Apr 25 22:20:57 Ivans-MacBook-Pro.local apsd[194]: Unrecognized leaf certificate

Ora ho capito approssimativamente cosa è cosa:

apsd - Daemon servizio di notifica push di Apple
Certificato foglia - Il primo certificato nella catena di certificati (non è sicuro, menzionato su qualche sito Microsoft)

Ma cosa significa? Quanto è serio? Qual è esattamente il certificato foglia? Ho un certificato falso / falso sul mio sistema?

È un'installazione Mac OS X Mavericks 10.9.2 abbastanza pulita, solo alcune app installate sul Mac App Store ufficiale (Xcode e pochi altri editor di codifica)

    
posta Ivan Kovacevic 25.04.2014 - 22:24
fonte

2 risposte

2

apsd - Demone del servizio di notifica push Apple

Eseguendo il campionamento del processo in esecuzione nel Monitor attività, ottengo questo:

Percorso: /System/Library/PrivateFrameworks/ApplePushService.framework/apsd
Versione: 206.2
Tipo di codice: X86-64
Processo principale: launchd [1]

Il processo viene avviato all'avvio del sistema e rimane costantemente attivo. Ogni 15 minuti viene generato un messaggio di log nel file system.log (visualizzabile dall'app Console), contenente un avviso che esiste un certificato foglia non riconosciuto . Ho usato tcpdump / Wireshark per campionare il traffico di rete quattro volte (solo per essere sicuro).

Prima volta:
Destinazione: 4-courier.push.apple.com (17.172.232.62)
Porto: 5223

Seconda volta:
Destinazione: 14-courier.push.apple.com (17.149.32.65)
Porto: 5223

Terza volta:
Destinazione: 44-courier.push.apple.com (17.172.233.136)
Porta: 5223

Quarta volta:
Destinazione: 23-courier.push.apple.com (17.149.36.193)
Porto: 5223

Gli indirizzi IP appartengono davvero a Apple,

NetRange: 17.0.0.0 - 17.255.255.255
CIDR: 17.0.0.0/8
OriginAS: 
NetName: APPLE-WWNET
NetHandle: NET-17-0-0-0-1

OrgName: Apple Inc.
OrgId: APPLEC-1-Z
Address: 20400 Stevens Creek Blvd., City Center Bldg 3
City: Cupertino
StateProv: CA
PostalCode: 95014
Country: US
RegDate: 2009-12-14
Updated: 2011-03-08
Ref: http://whois.arin.net/rest/org/APPLEC-1-Z

Il traffico era (come previsto) SSL su personalizzato porta 5223 come descritto qui: link

Porta: 5223
TCP o UDP: TCP
Nome del servizio o del protocollo: Servizio di notifica push di Apple
RFC: -
Nome servizio: -
Usato da / Ulteriori informazioni: Servizi di iCloud DAV (contatti, calendari e segnalibri ), APNS, FaceTime, Game Center, Photo Stream, Back to My Mac

Il certificato che il server sta inviando tuttavia si presenta come segue:

Identity: courier.push.apple.com
Verified by: Entrust Certification Authority - L1C
Expires: 11/21/2015

Subject Name
C (Country):    US
ST (State): California
L (Locality):   Cupertino
O (Organization):   Apple Inc.
CN (Common Name):   courier.push.apple.com

Apple ha ovviamente cambiato qualcosa nello schema di bilanciamento del carico perché apsd non si collega mai direttamente al dominio courier.push.apple.com . E il servizio non è raggiungibile attraverso tale dominio se si tenta di connettersi manualmente dal browser (come collegamento ).

Tuttavia sui sottodomini menzionati:
link
link
link
link

È possibile e viene visualizzato l'errore: "Questo certificato non è valido (mancata corrispondenza del nome host)" . Quello che credo stia accadendo è che apsd sta riportando la stessa cosa, ma gli sviluppatori hanno deciso di scriverlo nei registri come "certificato di foglia non riconosciuto".

Apple dovrebbe creare un nuovo certificato che includa un carattere jolly ( CN (Nome comune): * courier.push.apple.com) per correggere questo problema. Ho inviato un rapporto Commenti / Bug su link

Ma questo potrebbe essere più grave di un semplice messaggio di log, se apsd sta effettivamente ignorando il certificato sbagliato e sta semplicemente continuando a lavorare!

Continua qui: È Apple l'implementazione del servizio di notifica push vulnerabile a un attacco MitM

    
risposta data 26.04.2014 - 19:53
fonte
2

Un "certificato foglia" è ciò che è più comunemente noto come certificato di entità finale . I certificati arrivano in catene, a partire dalla CA radice, ogni certificato è la CA che ha emesso (firmato) il successivo. L'ultimo certificato è il certificato non CA che contiene la chiave pubblica che si desidera effettivamente utilizzare.

Se la PKI è rappresentata come un albero, con la CA radice come, sì, la radice, quindi i certificati di entità finale sono le foglie.

Il servizio di notifica push Apple è un sistema in cui un componente del tuo sistema si ricollega ad Apple per ottenere "notifiche "(piccoli messaggi relativi alle applicazioni installate). Dai messaggi che osservi, è plausibile che la connessione utilizzi SSL, e il certificato del server (sul lato Apple delle cose) è stato recentemente modificato e (per qualche motivo) non rende apsd felice.

Alcune ricerche su Google mostrano che altre persone ricevono questi messaggi e non sembrano notare conseguenze negative. Ciò potrebbe essere una conseguenza di alcune disfunzioni di Apple e potrebbe risolversi in poche ore. Per essere sicuro, prova a eseguire Wireshark per vedere se potresti ottenere una copia del traffico di rete: se ce ne sono alcuni SSL, quindi Wireshark lo mostrerà e otterrai una copia del certificato incriminato.

    
risposta data 25.04.2014 - 22:42
fonte