Por que o Safari e o Chrome não lançam avisos após remover os certificados raiz


8

Os certificados emitidos pelo DigiNotar foram incluídos hoje na lista negra da Mozilla. Visualizar sites com certificados emitidos pelo DigiNotar com uma compilação noturna do Firefox emitirá avisos.

Em vez de aguardar uma atualização, para que os certificados sejam revogados no meu próprio sistema, removi os certificados raiz do meu Keychain, mas o Chrome ainda valida os certificados do site e o Safari não está emitindo nenhum aviso.

Estou esquecendo de algo?

Certificados removidos:

  • CA raiz do DigiNotar
  • Staat der Nederlanden Root CA
  • Staat der Nederlanden Root CA - G2

Site testado: https://as.digid.nl/


Aqui está um site de teste alternativo que mostra o problema no Chrome 13.0.782.218: http://auth.pass.nl

Excluí a CA raiz do DigiNotar do meu Keychain. O Chrome foi reiniciado. Mas o Chrome ainda diz que este site é válido e lista a CA raiz do DigiNotar como a autoridade no SSL do site.

CA raiz DigiNotar confiável


o mesmo aqui. até ópera. Eu acho que certs desonestos são tão raros que todos os principais navegadores têm manipuladores de revogação de bugs.
precisa saber é o seguinte

Mesmo problema aqui. Encontrei este artigo da Mozilla que detalha a remoção manual: support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert Imagino que excluir do chaveiro seja essencialmente a mesma coisa. Estranho mesmo.

1
Quando defino a CA da raiz da Staat der Nederlanden como não confiável, recebo o aviso do Chrome de que o site não está usando um certificado confiável. Eu já excluí a CA raiz do DigiNotar.
Ian C.

Ao definir o certificado como "Nunca Confie", obtenho o resultado esperado do Safari e do Chrome. Os dois lançam um aviso.
Lars Wiegman

Respostas:


4

Todos os sites que verifico que defini manualmente como não confiáveis ​​mostram um aviso. Talvez as coisas estejam mudando nos servidores tão rapidamente que pessoas diferentes que executam as mesmas ações estão obtendo resultados diferentes.


Vamos deixar de lado o conceito de lista negra em geral e revogação de certificados como (CRL) ou verificação online como OCSP e apenas separar o mecanismo dos certificados SSL no navegador. Vou deixar de lado o Chrome / Firefox / outros navegadores e focar apenas no Safari e no Mac Keychain, já que isso é um problema suficiente para este post.

A resposta curta é que o site que você lista não depende do certificado usado de uma maneira que fez com que a imprensa publicasse todas as histórias da lista negra.

Foi usado para assinar certificados que correspondiam a qualquer coisa que terminasse em google.com e foram vistos em uso em sites que certamente não eram o google. É o equivalente tecnológico a alguém que constrói túneis em um cofre de banco. Não planeja escavar um túnel - mas um túnel de trabalho real em torno de uma barreira que todos esperavam ser sólidos.


Agora, como saber por que o Safari não sinalizou o site listado como "ruim".

Não apaguei nenhum certificado do mac em que estou e apenas iniciei o Keychain Assistant para usar o Certificate Assistant (no menu Acesso ao Keychain -> Assistente de Certificação -> Abrir ...

Na janela pequena da CA, selecione continuar e, em seguida, Exibir e avaliar, Exibir e avaliar certificados e continuar.

insira a descrição da imagem aqui

Como você pode ver agora, https://as.digid.nl/ está servindo quatro certificados na cadeia de confiança:

  • nome do certificado - tipo - impressão digital SHA1 - status
  • as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - inválido devido à incompatibilidade de nome de host (erro inofensivo - a ferramenta avalia esse certificado para seu mac e meu mac não é as.digid.nl)
  • DigiNotar PKIoverheid CA Overheid e Bedrijven - intermediário - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - válido
  • Staat der Nederlanden Overheid CA - intermediário - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - válido
  • Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - válido

insira a descrição da imagem aqui

Na sua pergunta, você declarou que excluiu a chave raiz - nesse caso, seu safari está armazenando em cache os valores antigos ou, quando você olhou, o site tinha um certificado SSL diferente do que eu vi ao fazer esta resposta. Você terá que reproduzir as etapas que eu apenas segui para ver qual era o caso.

No meu caso, só tive que marcar o certificado raiz da CA raiz Staat der Nederlanden como não confiável para fazer o Safari recusar e mostrar essa mensagem quando você carrega o site.

insira a descrição da imagem aqui

insira a descrição da imagem aqui

Como toda a imprensa é específica sobre apenas a CA raiz do DigiNotar como ruim, vou desfazer minha alteração para não confiar na CA raiz da Staat der Nederlanden .

Vou marcar a CA raiz do DigiNotar como nunca confiável, esperar e ver o que a Apple faz. Se você estiver interessado nesse tipo de coisa, monitore a página de segurança da Apple .


2
Mas o certificado "Staat der Nederlanden Root CA" não é confiável (tanto quanto eu sei). Apenas o certificado da CA DigiNotar deve ser revogado / excluído e isso não funciona.
Konrad Rudolph

Evitei todo o aspecto social, pois a pergunta era simplesmente por que o chrome e o safari não estavam lançando um erro. Talvez eu deva resolver isso na minha resposta mais claramente ...
bmike

Ver a minha atualização para o OP: Eu posso mostrar-lhe um site que não dependem da CA raiz DigiNotar que o Chrome terá todo o prazer mostrar, embora eu tenha eliminado a sua CA raiz do meu Keychain.
Ian C.

Awesome @ Ian-C - Estou procurando um homem de palha para testar. É claro que o chrome não está usando o chaveiro do sistema, mas sua própria loja. O Safari sinaliza corretamente auth.pass.nl quando a CA raiz do DigiNotar não é confiável ou é excluída. Obrigado por esse link!
bmike

Esquisito. Algo estranho está acontecendo. Desde a publicação do site atualizado, o Chrome e o Safari no meu sistema começaram a sinalizá-lo. Mas enquanto eu estava fazendo esse post, nenhum deles estava sinalizando. Parece que há algum atraso na propagação das informações do Keychain no Chrome e no Safari, talvez? Minha versão do Chrome não foi alterada nesse período. Estranho.
Ian C.

2

Parece que este é um bug sério no OS X.

Os usuários podem revogar um certificado usando o Keychain, mas, se visitarem um site que usa os certificados de validação estendida mais seguros, o Mac aceitará o certificado EV, mesmo que tenha sido emitido por uma autoridade de certificação marcada como não confiável no Keychain.

Fonte: http://www.computerworld.com


1

O site não usa o certificado Raiz da CA DigiNotar . O certificado raiz no caso de as.digid.nl é da "CA raiz da Staat der Nederlanden" - que é seguro (presumivelmente). É verdade que existe um certificado DigiNotar na cadeia de certificados do site, mas este não é o certificado raiz - é apenas um link na cadeia e é um certificado diferente .


É verdade, mas como a "CA raiz da Staat der Nederlanden" foi emitida pela mesma empresa, a DigiNotar, decidi revogá-la também.
Lars Wiegman

0

É possível que os certificados que você está vendo sejam assinados por várias autoridades de certificação (ou certificados intermediários de autoridade de certificação são assinados por várias entidades). Você precisaria identificar e remover todas as autoridades de certificação envolvidas.


Revogar a confiança em um certificado raiz funcionou para mim no Safari. Nesse caso, os certificados intermediários não são armazenados no meu chaveiro. Staat der Nederlanden Raiz CA SHA1 de impressão digital de 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04
bmike

0

Até onde eu sei, alguns navegadores (como o Firefox) não estão usando os certificados no seu chaveiro. O Chrome é baseado no Webkit, portanto, presumo que ele use o chaveiro.

Reiniciar o Safari não era necessário para mim; marcar o certificado raiz como "não confiável" e recarregar a página foi suficiente.

Não é possível apenas marcar a raiz (CA Staat der Nederlanden Root) como não confiável; os outros certificados não estão no seu chaveiro, mas são transmitidos do host toda vez que você inicia uma sessão SSL.

Você poderia postar uma captura de tela da janela certifcate ao carregar as.digid.nl? Talvez isso possa esclarecer a questão ...

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.