Perché Safari e Chrome non generano avvisi dopo aver rimosso i certificati di root

I certificati emessi da DigiNotar sono stati inseriti nella lista nera di Mozilla. La visualizzazione di siti Web con certificati emessi da DigiNotar con una build notturna di Firefox genererà avvisi.

Invece di aspettare un aggiornamento, per revocare i certificati sul mio sistema, ho rimosso i certificati di root dal mio Portachiavi, ma Chrome convalida ancora i certificati del sito Web e Safari non lancia alcun avviso.

Mi sto perdendo qualcosa?

Certificati rimossi:

• CA radice di DigiNotar
• Staat der Nederlanden Root CA
• Staat der Nederlanden Root CA - G2

Sito Web testato: https://as.digid.nl/

Ecco un sito di test alternativo che mostra il problema in Chrome 13.0.782.218: http://auth.pass.nl

Ho eliminato la CA radice di DigiNotar dal mio portachiavi. Chrome è stato riavviato. Ma Chrome afferma ancora che questo sito è valido ed elenca la CA principale di DigiNotar come autorità sull'SSL per il sito.

Ogni sito che controllo che ho impostato manualmente come non attendibile mostra un avviso. Forse le cose stanno cambiando sui server così rapidamente, persone diverse che fanno le stesse azioni stanno vedendo risultati diversi.

Mettiamo da parte il concetto di lista nera in generale e la revoca dei certificati come (CRL) o la verifica online come OCSP e selezioniamo semplicemente il meccanismo dei certificati SSL nel browser. Metterò da parte Chrome / Firefox / altri browser e mi concentrerò solo su Safari e sul portachiavi Mac in quanto è abbastanza problematico per questo post.

La risposta breve è che il sito che elenchi non dipende dall'unico certificato utilizzato in un modo che ha causato alla stampa di eseguire tutte le storie della lista nera.

È stato utilizzato per firmare certificati che corrispondevano a qualsiasi cosa terminasse in google.com e sono stati individuati in uso su siti che certamente non erano Google. Questo è un equivalente tecnologico di qualcuno che costruisce tunnel in un caveau di una banca. Non si prevede di scavare una galleria, ma una galleria funzionante attorno a una barriera che tutti si aspettavano fosse solida.

Ora su come sapere perché Safari non ha contrassegnato il sito che hai indicato come "non valido".

Non ho eliminato alcun certificato dal Mac in cui mi trovo e ho appena avviato l'Assistente portachiavi per utilizzare l'Assistente certificato (nel menu Accesso portachiavi -> Assistente certificazione -> Apri ...

Nella piccola finestra della CA, selezionare continua, quindi Visualizza e valuta, quindi Visualizza e valuta certificati, quindi continua.

Come puoi vedere ora, https://as.digid.nl/ offre quattro certificati nella catena della fiducia:

• nome certificato - tipo - impronta digitale SHA1 - stato
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - non valido a causa della mancata corrispondenza del nome host (errore innocuo - lo strumento valuta quel certificato per il tuo mac e il mio mac non è as.digid.nl)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - intermedio - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valido
• Staat der Nederlanden Overheid CA - intermedio - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valido
• Staat der Nederlanden Root CA - radice - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - valido

Nella tua domanda hai dichiarato di aver eliminato la chiave di root - in tal caso, il tuo safari sta memorizzando nella cache i vecchi valori o quando hai guardato, quel sito aveva un certificato SSL diverso da quello che ho visto fare questa risposta. Dovrai riprodurre i passaggi che ho appena compiuto per vedere quale fosse il caso.

Nel mio caso, ho dovuto solo contrassegnare il certificato radice della CA radice di Staat der Nederlanden come non attendibile per impedire a Safari di presentarsi e mostrare questo messaggio quando si carica il sito.

Dal momento che tutta la stampa è specifica sul fatto che solo la CA radice DigiNotar è dannosa, annullerò la mia modifica per non fidarmi della CA radice Staat der Nederlanden .

Ho intenzione di contrassegnare la CA radice di DigiNotar come mai affidabile e aspettare e vedere cosa fa Apple. Se sei interessato a questo genere di cose, controlla la pagina Sicurezza di Apple .

Sembra che questo sia un grave errore in OS X.

Gli utenti possono revocare un certificato utilizzando Keychain, ma se visitano un sito che utilizza i certificati di convalida estesa più sicuri, il Mac accetterà il certificato EV anche se è stato emesso da un'autorità di certificazione contrassegnata come non attendibile in Keychain.

Fonte: http://www.computerworld.com

Il sito Web non utilizza il certificato radice CA DigiNotar . Il certificato radice nel caso di as.digid.nl proviene dalla "radice CA di Staat der Nederlanden" - che è sicura (presumibilmente). È vero, esiste un certificato DigiNotar nella catena di certificati del sito Web, ma questo non è il certificato radice: è semplicemente un collegamento nella catena ed è un certificato diverso .

È possibile che i certificati visualizzati siano firmati da più CA (o certificati CA intermedi siano firmati da più entità). Dovresti identificare e rimuovere tutte le autorità di certificazione interessate.

Per quanto ne so, alcuni browser (come Firefox) non utilizzano i certificati nel tuo portachiavi. Chrome si basa su Webkit, quindi suppongo che utilizzi il portachiavi.

Il riavvio di Safari non è stato necessario per me; contrassegnare il certificato radice come "non attendibile" e ricaricare la pagina era sufficiente.

Non che puoi solo contrassegnare la radice (Staat der Nederlanden Root CA) come non attendibile; le altre certs non sono nel tuo portachiavi, ma piuttosto trasmesse dall'host ogni volta che avvii una sessione SSL.

Potresti pubblicare uno screenshot della finestra certifcate quando carichi as.digid.nl? Forse questo può far luce sulla questione ...