Perché Safari e Chrome non lanciano avvertimenti dopo aver rimosso i certificati di root

Sembra che questo sia un bug grave in OS X.

Users can revoke a certificate using Keychain, but if they happen to visit a site that uses the more-secure Extended Validation Certificates, the Mac will accept the EV certificate even if it's been issued by a certificate authority marked as untrusted in Keychain.

Fonte: link

Ogni sito che controllo di aver impostato manualmente come non attendibile mostra un avvertimento. Forse le cose stanno cambiando sui server così rapidamente, diverse persone che fanno le stesse azioni vedono risultati diversi.

Mettiamo da parte il concetto di blacklisting in generale e revoca dei certificati come (CRL) o verifiche online come OCSP e basta selezionare il meccanismo dei certificati SSL nel browser. Metterò da parte Chrome / Firefox / altri browser e concentrerò solo su Safari e il portachiavi Mac, dato che questo problema è abbastanza per questo post.

La risposta breve è che il sito che elenchi non dipende da un certificato che è stato utilizzato in un modo che ha causato alla stampa l'esecuzione di tutte le storie della lista nera.

È stato utilizzato per firmare i certificati che corrispondevano a qualsiasi cosa che terminava in google.com e sono stati individuati in uso su siti che non erano certamente google. Questo è un equivalente tecnologico per qualcuno che costruisce tunnel in un caveau di una banca. Non piani per il tunnel, ma un vero tunnel funzionante attorno a una barriera che tutti si aspettavano essere solidi.

Ora su come sapere perché Safari non ha contrassegnato il sito che hai elencato come "cattivo".

Non ho cancellato alcun certificato dal mac I'm on e ho appena attivato l'Assistente portachiavi per utilizzare l'Assistente certificato (sotto il Accesso Portachiavi - > Assistente certificazione - > Apri ...

Nella piccola finestra della CA, selezionare continua, quindi Visualizza e valuta, quindi Visualizza e valuta i certificati, quindi continua.

Comeorapuoivedere, link sta scontando quattro certificati nella catena di fiducia:

• nome cert - tipo - impronta digitale SHA1 - stato
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - non valido a causa della mancata corrispondenza del nome host (errore innocuo - lo strumento valuta quel certificato per il tuo mac e il mio mac non è as.digid.nl)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - intermedio - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valido
• Staat der Nederlanden Overheid CA - intermedio - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valido
• Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - valido

Nellatuadomandahaidichiaratodiavereliminatolachiaveprincipale-intalcaso,iltuosafarimemorizzaivecchivalorioquandohaiguardato,quelsitoavevauncertificatoSSLdiversodaquellochehovistofarequestarisposta.Dovrairiprodurreipassaggichehoappenapresopervederequaleerailcaso.

Nelmiocaso,HodovutocontrassegnareilcertificatodirootStaatderNederlandenRootCAcomenonattendibileperimpedireaSafaridieseguireilbalkemostrarequestomessaggioquandocarichiilsito.

PoichétuttalastampaèspecificasoloperlaDigiNotarRootCAcomemale,annulleròlamiamodificapernonfidarmidellaStaatderNederlandenRootCA.

ContrassegneròDigiNotarRootCAcomemaiattendibileeattendoevedremocosafaApple.Seseiinteressatoaquestotipodicose,controllalapagina Sicurezza Apple .

Il sito Web non utilizza il certificato CA certificato di root di DigiNotar. Il certificato di root nel caso di as.digid.nl proviene dalla "Staat der Nederlanden root CA" - che è sicuro (presumibilmente). È vero, esiste un certificato DigiNotar nella catena di certificati del sito Web, ma questo è non il certificato di origine - è semplicemente un collegamento nella catena ed è un certificato diverso .

È possibile che i certificati che stai visualizzando siano firmati da più CA (o certificati CA intermedi firmati da più entità). Dovresti identificare e rimuovere tutte le CA di firma coinvolte.

Per quanto ne so, alcuni browser (come Firefox) non stanno usando i certificati nel tuo portachiavi. Chrome è basato su Webkit, quindi presumo che usi il portachiavi.

Il riavvio di Safari non era necessario per me; contrassegnando il certificato radice come "non attendibile" e ricaricando la pagina è stato sufficiente.

Non è possibile contrassegnare la radice (Staat der Nederlanden Root CA) come non affidabile; gli altri certificati non sono nel tuo portachiavi, ma piuttosto trasmessi dall'host ogni volta che avvii una sessione SSL.

Potresti pubblicare uno screenshot della finestra di certificazione quando carichi as.digid.nl? Forse questo può far luce sul problema ...