Perché Safari e Chrome non lanciano avvertimenti dopo aver rimosso i certificati di root

8

I certificati emessi da DigiNotar sono stati inseriti in blacklist oggi da Mozilla. Visualizzando i siti Web con i certificati emessi da DigiNotar con una versione notturna di Firefox verranno visualizzati gli avvisi.

Invece di aspettare un aggiornamento, perché i certificati vengano revocati sul mio sistema, ho rimosso i certificati di root dal mio Keychain ma Chrome continua a convalidare i certificati del sito web e Safari non lancia alcun avvertimento.

Mi manca qualcosa?

Certificati rimossi:

  • CA radice di DigiNotar
  • Staat der Nederlanden Root CA
  • Staat der Nederlanden CA radice - G2

Sito web testato: link

Ecco un sito di test alternativo che mostra il problema in Chrome 13.0.782.218: link

Ho cancellato la CA radice di DigiNotar dal mio portachiavi. Chrome è stato riavviato. Ma Chrome dice ancora che questo sito è valido ed elenca la CA radice di DigiNotar come autorità sul SSL per il sito.

    
posta Lars Wiegman 30.08.2011 - 21:25
fonte

5 risposte

2

Sembra che questo sia un bug grave in OS X.

Users can revoke a certificate using Keychain, but if they happen to visit a site that uses the more-secure Extended Validation Certificates, the Mac will accept the EV certificate even if it's been issued by a certificate authority marked as untrusted in Keychain.

Fonte: link

    
risposta data 01.09.2011 - 22:14
fonte
4

Ogni sito che controllo di aver impostato manualmente come non attendibile mostra un avvertimento. Forse le cose stanno cambiando sui server così rapidamente, diverse persone che fanno le stesse azioni vedono risultati diversi.

Mettiamo da parte il concetto di blacklisting in generale e revoca dei certificati come (CRL) o verifiche online come OCSP e basta selezionare il meccanismo dei certificati SSL nel browser. Metterò da parte Chrome / Firefox / altri browser e concentrerò solo su Safari e il portachiavi Mac, dato che questo problema è abbastanza per questo post.

La risposta breve è che il sito che elenchi non dipende da un certificato che è stato utilizzato in un modo che ha causato alla stampa l'esecuzione di tutte le storie della lista nera.

È stato utilizzato per firmare i certificati che corrispondevano a qualsiasi cosa che terminava in google.com e sono stati individuati in uso su siti che non erano certamente google. Questo è un equivalente tecnologico per qualcuno che costruisce tunnel in un caveau di una banca. Non piani per il tunnel, ma un vero tunnel funzionante attorno a una barriera che tutti si aspettavano essere solidi.

Ora su come sapere perché Safari non ha contrassegnato il sito che hai elencato come "cattivo".

Non ho cancellato alcun certificato dal mac I'm on e ho appena attivato l'Assistente portachiavi per utilizzare l'Assistente certificato (sotto il Accesso Portachiavi - > Assistente certificazione - > Apri ...

Nella piccola finestra della CA, selezionare continua, quindi Visualizza e valuta, quindi Visualizza e valuta i certificati, quindi continua.

Comeorapuoivedere, link sta scontando quattro certificati nella catena di fiducia:

  • nome cert - tipo - impronta digitale SHA1 - stato
  • as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - non valido a causa della mancata corrispondenza del nome host (errore innocuo - lo strumento valuta quel certificato per il tuo mac e il mio mac non è as.digid.nl)
  • DigiNotar PKIoverheid CA Overheid en Bedrijven - intermedio - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valido
  • Staat der Nederlanden Overheid CA - intermedio - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valido
  • Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - valido

Nellatuadomandahaidichiaratodiavereliminatolachiaveprincipale-intalcaso,iltuosafarimemorizzaivecchivalorioquandohaiguardato,quelsitoavevauncertificatoSSLdiversodaquellochehovistofarequestarisposta.Dovrairiprodurreipassaggichehoappenapresopervederequaleerailcaso.

Nelmiocaso,HodovutocontrassegnareilcertificatodirootStaatderNederlandenRootCAcomenonattendibileperimpedireaSafaridieseguireilbalkemostrarequestomessaggioquandocarichiilsito.

PoichétuttalastampaèspecificasoloperlaDigiNotarRootCAcomemale,annulleròlamiamodificapernonfidarmidellaStaatderNederlandenRootCA.

ContrassegneròDigiNotarRootCAcomemaiattendibileeattendoevedremocosafaApple.Seseiinteressatoaquestotipodicose,controllalapagina Sicurezza Apple .

    
risposta data 31.08.2011 - 06:54
fonte
1

Il sito Web non utilizza il certificato CA certificato di root di DigiNotar. Il certificato di root nel caso di as.digid.nl proviene dalla "Staat der Nederlanden root CA" - che è sicuro (presumibilmente). È vero, esiste un certificato DigiNotar nella catena di certificati del sito Web, ma questo è non il certificato di origine - è semplicemente un collegamento nella catena ed è un certificato diverso .

    
risposta data 31.08.2011 - 13:07
fonte
0

È possibile che i certificati che stai visualizzando siano firmati da più CA (o certificati CA intermedi firmati da più entità). Dovresti identificare e rimuovere tutte le CA di firma coinvolte.

    
risposta data 31.08.2011 - 05:07
fonte
0

Per quanto ne so, alcuni browser (come Firefox) non stanno usando i certificati nel tuo portachiavi. Chrome è basato su Webkit, quindi presumo che usi il portachiavi.

Il riavvio di Safari non era necessario per me; contrassegnando il certificato radice come "non attendibile" e ricaricando la pagina è stato sufficiente.

Non è possibile contrassegnare la radice (Staat der Nederlanden Root CA) come non affidabile; gli altri certificati non sono nel tuo portachiavi, ma piuttosto trasmessi dall'host ogni volta che avvii una sessione SSL.

Potresti pubblicare uno screenshot della finestra di certificazione quando carichi as.digid.nl? Forse questo può far luce sul problema ...

    
risposta data 31.08.2011 - 16:49
fonte

Leggi altre domande sui tag