Dlaczego Safari i Chrome nie wyświetlają ostrzeżeń po usunięciu certyfikatów głównych

Certyfikaty wydane przez DigiNotar zostały dziś na czarnej liście Mozilli. Wyświetlanie stron internetowych z certyfikatami wydanymi przez DigiNotar z nocną wersją Firefoksa spowoduje wyświetlenie ostrzeżeń.

Zamiast czekać na aktualizację, aby certyfikaty zostały unieważnione w moim systemie, usunąłem certyfikaty główne z mojego pęku kluczy, ale Chrome nadal sprawdza certyfikaty witryn i Safari nie wyświetla żadnych ostrzeżeń.

Coś mi brakuje?

Usunięto certyfikaty:

• DigiNotar Root CA
• Staat der Nederlanden Root CA
• Staat der Nederlanden Root CA - G2

Strona przetestowana: https://as.digid.nl/

Oto alternatywna witryna testowa pokazująca problem w Chrome 13.0.782.218: http://auth.pass.nl

Usunąłem główny urząd certyfikacji DigiNotar z mojego pęku kluczy. Chrome został ponownie uruchomiony. Ale Chrome nadal twierdzi, że ta strona jest ważna i wymienia główny urząd certyfikacji DigiNotar jako autorytet w SSL dla tej witryny.

Każda witryna, którą sprawdzam ręcznie jako niezaufaną, wyświetla ostrzeżenie. Być może rzeczy zmieniają się na serwerach tak szybko, że różni ludzie wykonujący te same czynności widzą różne wyniki.

Odłóżmy na bok ogólną koncepcję czarnej listy i odwołania certyfikatów, takich jak (CRL) lub weryfikacji online, takich jak OCSP, i po prostu oddzielmy mechanizm certyfikatów SSL w przeglądarce. Odłożę na bok przeglądarki Chrome / Firefox / inne i skupię się na Safari i pęku kluczy Mac, ponieważ to wystarczający problem dla tego postu.

Krótka odpowiedź brzmi: witryna, którą wymieniasz, nie zależy od jednego certyfikatu, który został użyty w sposób, który spowodował, że prasa uruchomiła wszystkie historie z czarnej listy.

Służył do podpisywania certyfikatów, które pasowały do ​​wszystkiego, co kończy się na google.com, i były zauważane w witrynach, które z pewnością nie były google. Jest to technologiczny odpowiednik dla kogoś, kto buduje tunele w skarbcu bankowym. Nie planuje tunelowania - ale działający tunel wokół bariery, o której wszyscy spodziewali się, że będzie solidna.

Teraz dowiesz się, dlaczego Safari nie oznaczyło witryny wymienionej jako „zła”.

Nie usunąłem żadnych certyfikatów z komputera Mac, na którym jestem, i po prostu uruchomiłem Keychain Assistant, aby użyć Asystenta certyfikatu (w menu Dostęp do pęku kluczy -> Asystent certyfikacji -> Otwórz ...

W małym oknie urzędu certyfikacji wybierz kontynuuj, a następnie Wyświetl i oceń, a następnie Wyświetl i oceń certyfikaty, a następnie kontynuuj.

Jak widać, https://as.digid.nl/ obsługuje cztery certyfikaty w łańcuchu zaufania:

• nazwa certyfikatu - typ - odcisk palca SHA1 - status
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - nieważny z powodu niedopasowania nazwy hosta (błąd nieszkodliwy - narzędzie ocenia ten certyfikat dla twojego Maca i mojego Maca nie jest jak.digid.nl)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - średniozaawansowany - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - ważny
• Staat der Nederlanden Overheid CA - średniozaawansowany - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - ważny
• Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - ważny

W swoim pytaniu stwierdziłeś, że usunąłeś klucz root - jeśli tak, twoje safari albo buforuje stare wartości, albo kiedy spojrzałeś, ta strona miała certyfikat SSL inny niż ten, który widziałem, udzielając tej odpowiedzi. Będziesz musiał odtworzyć kroki, które właśnie podjąłem, aby zobaczyć, co było prawdą.

W moim przypadku musiałem jedynie oznaczyć certyfikat główny głównego urzędu certyfikacji Staat der Nederlanden jako niezaufany, aby Safari mogło się powstrzymać i pokazać ten komunikat podczas ładowania witryny.

Ponieważ cała prasa jest specyficzny o tylko DigiNotar głównego urzędu jako złe, mam zamiar cofnąć moje zmiany nie zaufać Staat der Nederlanden głównego urzędu .

Zamierzam oznaczyć DigiNotar Root CA jako nigdy, któremu nie można ufać, i czekam i zobaczę, co robi Apple. Jeśli jesteś zainteresowany tego rodzaju rzeczami, monitoruj stronę Apple Security .

Wygląda na to, że jest to poważny błąd w systemie OS X.

Użytkownicy mogą odwołać certyfikat za pomocą pęku kluczy, ale jeśli zdarzy im się odwiedzić witrynę korzystającą z bezpieczniejszych certyfikatów rozszerzonej weryfikacji, komputer Mac zaakceptuje certyfikat EV, nawet jeśli został wydany przez urząd certyfikacji oznaczony jako niezaufany w pęku kluczy.

Źródło: http://www.computerworld.com

Witryna nie korzysta z certyfikatu głównego CA DigiNotar . Certyfikat główny w przypadku as.digid.nl pochodzi od „Staat der Nederlanden root CA” - który jest bezpieczny (przypuszczalnie). To prawda, że ​​w łańcuchu certyfikatów witryny znajduje się certyfikat DigiNotar, ale nie jest to certyfikat główny - to tylko link w łańcuchu i jest to inny certyfikat.

Możliwe, że wyświetlane certyfikaty są podpisywane przez wiele urzędów certyfikacji (lub pośrednie certyfikaty urzędów certyfikacji są podpisywane przez wiele podmiotów). Będziesz musiał zidentyfikować i usunąć wszystkie zaangażowane CA podpisujące.

O ile mi wiadomo, niektóre przeglądarki (np. Firefox) nie używają certyfikatów w twoim pęku kluczy. Chrome jest oparty na Webkit, więc zakładam, że używa pęku kluczy.

Ponowne uruchomienie Safari nie było dla mnie konieczne; oznaczenie root certyfikatu jako „niezaufanego” i ponowne załadowanie strony było wystarczające.

Nie oznacza to, że możesz jedynie oznaczyć root (Staat der Nederlanden Root CA) jako niezaufany; pozostałe certyfikaty nie znajdują się w twoim pęku kluczy, ale są przesyłane z hosta za każdym razem, gdy zaczynasz sesję SSL.

Czy możesz załadować zrzut ekranu okna certyfikatu podczas ładowania jako as.digid.nl? Może to rzuci nieco światła na ten problem ...