Чому Safari та Chrome не видають попередження після видалення кореневих сертифікатів

Сертифікати, видані DigiNotar, сьогодні були в чорному списку Mozilla. Перегляд веб-сайтів із сертифікатами, виданими DigiNotar, з нічним складанням Firefox винесе попередження.

Замість того, щоб чекати оновлення, щоб сертифікати були відкликані в моїй власній системі, я видалив кореневі сертифікати зі своєї брелки, але Chrome все ще підтверджує сертифікати веб-сайту, і Safari не видає жодних попереджень.

Я щось пропускаю?

Сертифікати вилучені:

• DigiNotar Root CA
• Staat der Nederlanden Root, CA
• Roat der Nederlanden Root CA - G2

Тестований веб-сайт: https://as.digid.nl/

Ось альтернативний тестовий сайт, який показує проблему в Chrome 13.0.782.218: http://auth.pass.nl

Я видалив корінь CA DigiNotar зі свого брелка. Chrome було перезапущено. Але Chrome все ще каже, що цей сайт є дійсним і перераховує корінь CA DigiNotar як повноваження щодо SSL для цього сайту.

Кожен сайт, на який я перевіряю, що я вручну встановив як ненадійний, показує попередження. Можливо, на серверах все змінюється так швидко, що різні люди, які роблять одні й ті ж дії, бачать різні результати.

Давайте відкладемо концепцію чорного списку взагалі та відкликання сертифікатів, наприклад (CRL) або онлайн-перевірки на зразок OCSP, і просто виділимо механізм SSL-сертифікатів у браузері. Я відкладу веб-переглядачі Chrome / Firefox / та зосереджуюсь лише на Safari та Mac Keychain, оскільки це достатньо проблем для цієї публікації.

Коротка відповідь полягає в тому, що сайт, який ви перераховуєте, не залежить від одного сертифіката, який використовувався таким чином, що змусило пресу запустити всі історії з чорного списку.

Він використовувався для підписання сертифікатів, які відповідають тому, що закінчується на google.com, і вони були помічені у використанні на сайтах, які, безумовно, не були google. Це технологічний еквівалент тому, хто будує тунелі в скарбничку банку. Не планує тунель - але діючий справжній тунель навколо бар'єру, який усі очікували, що буде міцним.

Тепер, як дізнатися, чому Safari не позначив сайт, який ви вказали як "поганий".

Я не видалив жодних сертифікатів із Mac, на якому я ввімкнув, і просто запустив Assistant Keychain Assistant для використання помічника сертифікатів (у меню Keychain Access -> Assistant Assistant -> Open ...

У невеликому вікні CA виберіть «Продовжити», потім «Переглянути та оцінити», а потім «Переглянути та оцінити сертифікати», а потім продовжити.

Як ви тепер можете бачити, https://as.digid.nl/ подає чотири сертифікати у ланцюжку довіри:

• ім'я cert - тип - відбиток пальця SHA1 - статус
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - недійсний через невідповідність імені хоста (нешкідлива помилка - інструмент оцінює цей сертифікат для вашого mac та мого mac не as.digid.nl)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - проміжний - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - дійсний
• Staat der Nederlanden Overheid CA - проміжний - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - дійсний
• Staat der Nederlanden Root CA - корінь - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - дійсний

У своєму запитанні ви заявили, що ви видалили кореневий ключ - якщо так, ваш сафарі або кешує старі значення, або коли ви подивилися, на цьому веб-сайті був сертифікат SSL, відмінний від того, який я бачив, коли я відповідав на цю відповідь. Вам доведеться відтворити кроки, які я щойно зробив, щоб побачити, що це було.

У моєму випадку мені довелося лише позначити кореневий сертифікат Staat der Nederlanden Root CA як недовірений, щоб Safari розмовляв та показував це повідомлення під час завантаження сайту.

Оскільки вся преса специфічний про тільки DigiNotar кореневої ЦС як погано, я йду , щоб скасувати моє зміна , щоб не довіряти Staat дер Nederlanden кореневої ЦС .

Я збираюся відзначити DigiNotar Root CA як ніколи не довіряти і зачекаю, і я побачу, що робить Apple. Якщо вас цікавлять подібні речі, слідкуйте за сторінками безпеки Apple .

Здається, це серйозна помилка в ОС X.

Користувачі можуть відкликати сертифікат за допомогою Keychain, але якщо їм трапляється відвідувати сайт, який використовує більш захищені розширені сертифікати перевірки, Mac прийме сертифікат EV, навіть якщо його видав орган сертифікації, позначений як недовірений Keychain.

Джерело: http://www.computerworld.com

Сайт не використовує DigiNotar CA сертифікат кореневого . Кореневий сертифікат у випадку з as.digid.nl походить від “Staat der Nederlanden root CA” - що є безпечним (імовірно). Правда, у ланцюжку сертифікатів веб-сайту є сертифікат DigiNotar, але це не кореневий сертифікат - це лише посилання у ланцюжку, а це інший сертифікат.

Можливо, що серти, які ви бачите, підписані декількома ЦА (або проміжні сертифікати ЦС підписані декількома об'єктами). Вам доведеться ідентифікувати та видалити всі залучені ЦП, що підписують.

Наскільки мені відомо, деякі веб-переглядачі (наприклад, Firefox) не використовують сертифікати у вашому брелоку. Chrome базується на Webkit, тому я припускаю, що він використовує брелок.

Перезапуск Safari мені не був потрібний; позначення кореневої цертти як "ненадійного" та перезавантаження сторінки було достатньо.

Не те, що ви можете лише позначити корінь (Staat der Nederlanden Root CA) як ненадійний; інші серти не знаходяться у вашому брелоку, а передаються від хоста кожного разу, коли ви запускаєте сеанс SSL.

Чи можете ви опублікувати скріншот вікна сертифіката під час завантаження as.digid.nl? Можливо, це може пролити трохи світла щодо цього питання ...