Почему Safari и Chrome не выдают предупреждения после удаления корневых сертификатов

Сертификаты, выпущенные DigiNotar, были помещены в черный список сегодня Mozilla. Просмотр веб-сайтов с сертификатами, выданными DigiNotar с ночной сборкой Firefox, приведет к предупреждению.

Вместо того чтобы ждать обновления, чтобы сертификаты были отозваны в моей собственной системе, я удалил корневые сертификаты из своей цепочки для ключей, но Chrome все еще проверяет сертификаты веб-сайта, и Safari не выдает никаких предупреждений.

Я что-то пропустил?

Сертификаты удалены:

• DigiNotar Root CA
• Staat der Nederlanden Root CA
• Штат дер Недерланден Корень CA - G2

Сайт протестирован: https://as.digid.nl/

Вот альтернативный тестовый сайт, который показывает проблему в Chrome 13.0.782.218: http://auth.pass.nl

Я удалил корневой CA DigiNotar из моей Цепочки для ключей. Хром был перезапущен. Но Chrome по-прежнему говорит, что этот сайт действителен, и в качестве авторитета SSL для сайта указывается корневой центр сертификации DigiNotar.

Каждый сайт, который я проверяю, который я установил вручную как ненадежный, показывает предупреждение. Возможно, на серверах все меняется так быстро, что разные люди, выполняющие одни и те же действия, видят разные результаты.

Давайте оставим в стороне концепцию черного списка в целом и отзыва сертификатов (CRL) или онлайн-проверки, например OCSP, и просто выберем механизм SSL-сертификатов в браузере. Я отложу Chrome / Firefox / другие браузеры и сосредоточусь только на Safari и Mac Keychain, так как для этого поста этого достаточно.

Краткий ответ: сайт, который вы перечисляете, не зависит от одного сертификата, который использовался таким образом, что пресса запускала все истории из черного списка.

Он использовался для подписи сертификатов, которые соответствовали всему, что заканчивалось на google.com, и они были замечены в использовании на сайтах, которые, конечно, не были Google. Это технологический эквивалент того, кто строит туннели в банковском хранилище. Не планирует прокладывать туннель, а работает настоящий туннель вокруг барьера, который, как все ожидали, будет прочным.

Теперь о том, как узнать, почему Safari не пометил сайт, который вы указали, как «плохой».

Я не удалил сертификаты с компьютера Mac, на котором я работаю, и просто запустил Помощник по цепочке для ключей, чтобы использовать Помощник по сертификатам (в меню Доступ к цепочке для ключей -> Помощник по сертификации -> Открыть ...

В небольшом окне ЦС выберите «Продолжить», затем «Просмотреть и оценить», затем «Просмотреть и оценить сертификаты», затем продолжить.

Как вы можете видеть, https://as.digid.nl/ обслуживает четыре сертификата в цепочке доверия:

• имя сертификата - тип - отпечаток SHA1 - статус
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - недействительно из-за несоответствия имени хоста (безвредная ошибка - инструмент оценивает этот сертификат для вашего Mac и моего Mac not as.digid.nl)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - средний - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - действует
• Staat der Nederlanden Overheid CA - промежуточный уровень - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - действует
• Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - действует

В своем вопросе вы указали, что удалили корневой ключ - если это так, ваше сафари либо кэширует старые значения, либо когда вы просматривали, у этого сайта был сертификат SSL, отличный от того, который я видел при создании этого ответа. Вам нужно будет воспроизвести шаги, которые я только что предпринял, чтобы увидеть, в чем дело.

В моем случае мне нужно было только пометить корневой сертификат корневого CA Staat der Nederlanden как ненадежный, чтобы Safari блокировал и отображал это сообщение при загрузке сайта.

Поскольку вся пресса специфичен о только DigiNotar корневой ЦС как плохо, я иду , чтобы отменить мое изменение , чтобы не доверять Staat дер Nederlanden корневой ЦС .

Я собираюсь пометить DigiNotar Root CA как никогда не заслуживающего доверия, подожду и посмотрю, что делает Apple. Если вас интересуют такие вещи, следите за страницей безопасности Apple .

Кажется, это серьезная ошибка в OS X.

Пользователи могут отозвать сертификат с помощью Цепочки для ключей, но если им случится посетить сайт, который использует более защищенные Сертификаты расширенной проверки, Mac примет сертификат EV, даже если он был выдан центром сертификации, помеченным как ненадежный в Цепочке для ключей.

Источник: http://www.computerworld.com

Сайт не использует DigiNotar CA сертификат корневого . Корневой сертификат в случае as.digid.nl получен из «Staat der Nederlanden root CA» - который является безопасным (предположительно). Правда, в цепочке сертификатов веб-сайта есть сертификат DigiNotar, но это не корневой сертификат - это просто ссылка в цепочке, и это другой сертификат.

Возможно, что сертификаты, которые вы видите, подписаны несколькими CA (или промежуточные сертификаты CA подписаны несколькими объектами). Вы должны будете идентифицировать и удалить все подписывающие центры сертификации.

Насколько я знаю, некоторые браузеры (например, Firefox) не используют сертификаты в вашей цепочке для ключей. Chrome основан на Webkit, поэтому я предполагаю, что он использует цепочку для ключей.

Перезапуск Safari не был необходим мне; достаточно было пометить корневой сертификат как «ненадежный» и перезагрузить страницу.

Нельзя сказать, что вы можете только пометить корень (Staat der Nederlanden Root CA) как ненадежного; другие сертификаты находятся не в вашей цепочке для ключей, а передаются с хоста каждый раз, когда вы запускаете сеанс SSL.

Не могли бы вы опубликовать скриншот окна сертификата при загрузке файла as.digid.nl? Может быть, это может пролить свет на проблему ...