A CA raiz do DigiNotar foi comprometida e foi colocada na lista negra pelo Mozilla e Chrome. Eu já não confio em sua CA raiz no Keychain nos meus dispositivos OS X, mas como posso fazer algo semelhante no meu iPhone e iPad?
Edit: Eu gostaria de fazer isso sem ter que fazer o jailbreak de qualquer dispositivo.
Edit: A atualização do i0S 5 da Apple remove a CA raiz do DigiNotar do seu iDevice e também livra a confiança dos certificados assinados pelo MD5. Veja este artigo da Ars Technica para obter detalhes.
3
Excelente pergunta. Uma coisa que não funcionou foi usar o Utilitário de configuração do iPhone (em Credenciais) para fornecer ao iPhone o certificado DigiNotar definido como "Nunca confie". Eu esperava que isso substituísse o certificado interno do IOS, mas ainda permite que você navegue alegremente até o seu destino. No pior caso, teremos que esperar por uma atualização do IOS (para que você não queira fazer o jailbreak).
—
Ingmar Hupp
Quais sites ainda estão usando um certificado assinado pelo certificado comprometido? Como você sabe que está realmente navegando para o destino, e não que os sites que você visitou mudaram os certificados que eles usam para um com uma raiz confiável?
—
bmike
@bmike O ponto crucial do problema é que, no iOS Safari, parece impossível verificar e ver quais certificados um site está usando e evitar os que estão comprometidos. A lista negra da Mozilla é muito maior do que a lista comprometida admitida pelo DigiNotar, o que significa que definitivamente existem alguns documentos que o DigiNotar deixou no lugar que considera seguros, mas que o Mozilla e outros não concordam.
—
Ian C.
Eu usei o auth.pass.nl para testar, que ainda possui um certificado SSL assinado pela CA comprometida. Provavelmente há muito mais para encontrar (especialmente no espaço para nome .nl). Faça o check-in no navegador da área de trabalho primeiro se o certificado for afetado.
—
Ingmar Hupp
A Apple tem uma lista de todos os certificados raiz confiáveis no IOS .
—
Ingmar Hupp