Почему Safari и Chrome не выдают предупреждения после удаления корневых сертификатов

8

Сертификаты, выпущенные DigiNotar, были помещены в черный список сегодня Mozilla. Просмотр веб-сайтов с сертификатами, выданными DigiNotar с ночной сборкой Firefox, приведет к предупреждению.

Вместо того чтобы ждать обновления, чтобы сертификаты были отозваны в моей собственной системе, я удалил корневые сертификаты из своей цепочки для ключей, но Chrome все еще проверяет сертификаты веб-сайта, и Safari не выдает никаких предупреждений.

Я что-то пропустил?

Сертификаты удалены:

  • DigiNotar Root CA
  • Staat der Nederlanden Root CA
  • Штат дер Недерланден Корень CA - G2

Сайт протестирован: https://as.digid.nl/


Вот альтернативный тестовый сайт, который показывает проблему в Chrome 13.0.782.218: http://auth.pass.nl

Я удалил корневой CA DigiNotar из моей Цепочки для ключей. Хром был перезапущен. Но Chrome по-прежнему говорит, что этот сайт действителен, и в качестве авторитета SSL для сайта указывается корневой центр сертификации DigiNotar.

DigiNotar Root CA Trusted

Ларс Вигман
источник
тоже самое. даже опера. я предполагаю, что мошеннические сертификаты настолько редки, что все основные браузеры имеют глючные обработчики отзыва.
hsmiths
Та же проблема здесь. Я нашел эту статью из Mozilla, в которой подробно описано ручное удаление: support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert. Я думаю, что удаление из цепочки для ключей - это, по сути, одно и то же. Странно действительно.
1
Когда я устанавливаю ненадежный корневой центр сертификации Staat der Nederlanden, я получаю предупреждение от Chrome о том, что сайт не использует доверенный сертификат. Я уже удалил корневой CA DigiNotar.
Ян С.
При установке сертификата «Никогда не доверяй» я получаю ожидаемый результат от обоих Safari как Chrome. Они оба бросают предупреждение.
Ларс Вигман

Ответы:

4

Каждый сайт, который я проверяю, который я установил вручную как ненадежный, показывает предупреждение. Возможно, на серверах все меняется так быстро, что разные люди, выполняющие одни и те же действия, видят разные результаты.


Давайте оставим в стороне концепцию черного списка в целом и отзыва сертификатов (CRL) или онлайн-проверки, например OCSP, и просто выберем механизм SSL-сертификатов в браузере. Я отложу Chrome / Firefox / другие браузеры и сосредоточусь только на Safari и Mac Keychain, так как для этого поста этого достаточно.

Краткий ответ: сайт, который вы перечисляете, не зависит от одного сертификата, который использовался таким образом, что пресса запускала все истории из черного списка.

Он использовался для подписи сертификатов, которые соответствовали всему, что заканчивалось на google.com, и они были замечены в использовании на сайтах, которые, конечно, не были Google. Это технологический эквивалент того, кто строит туннели в банковском хранилище. Не планирует прокладывать туннель, а работает настоящий туннель вокруг барьера, который, как все ожидали, будет прочным.


Теперь о том, как узнать, почему Safari не пометил сайт, который вы указали, как «плохой».

Я не удалил сертификаты с компьютера Mac, на котором я работаю, и просто запустил Помощник по цепочке для ключей, чтобы использовать Помощник по сертификатам (в меню Доступ к цепочке для ключей -> Помощник по сертификации -> Открыть ...

В небольшом окне ЦС выберите «Продолжить», затем «Просмотреть и оценить», затем «Просмотреть и оценить сертификаты», затем продолжить.

введите описание изображения здесь

Как вы можете видеть, https://as.digid.nl/ обслуживает четыре сертификата в цепочке доверия:

  • имя сертификата - тип - отпечаток SHA1 - статус
  • as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - недействительно из-за несоответствия имени хоста (безвредная ошибка - инструмент оценивает этот сертификат для вашего Mac и моего Mac not as.digid.nl)
  • DigiNotar PKIoverheid CA Overheid en Bedrijven - средний - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - действует
  • Staat der Nederlanden Overheid CA - промежуточный уровень - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - действует
  • Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - действует

введите описание изображения здесь

В своем вопросе вы указали, что удалили корневой ключ - если это так, ваше сафари либо кэширует старые значения, либо когда вы просматривали, у этого сайта был сертификат SSL, отличный от того, который я видел при создании этого ответа. Вам нужно будет воспроизвести шаги, которые я только что предпринял, чтобы увидеть, в чем дело.

В моем случае мне нужно было только пометить корневой сертификат корневого CA Staat der Nederlanden как ненадежный, чтобы Safari блокировал и отображал это сообщение при загрузке сайта.

введите описание изображения здесь

введите описание изображения здесь

Поскольку вся пресса специфичен о только DigiNotar корневой ЦС как плохо, я иду , чтобы отменить мое изменение , чтобы не доверять Staat дер Nederlanden корневой ЦС .

Я собираюсь пометить DigiNotar Root CA как никогда не заслуживающего доверия, подожду и посмотрю, что делает Apple. Если вас интересуют такие вещи, следите за страницей безопасности Apple .

bmike
источник
2
Но сертификат «Staat der Nederlanden Root CA» не заслуживает доверия (насколько я знаю). Просто сертификат DigiNotar CA должен быть отозван / удален, и это не работает.
Конрад Рудольф
Я избегал всего социального аспекта, поскольку вопрос был просто в том, почему Chrome и Safari не выдавали ошибку. Возможно, мне следует обратиться к этому в своем ответе более четко ...
bmike
Посмотрите мое обновление для OP: я могу показать вам сайт, который зависит от корневого CA DigiNotar, который Chrome с удовольствием отобразит, даже если я удалил их корневой CA из моей цепочки для ключей.
Ян С.
Круто @ Ian-C - я искал соломенного мужчину для тестирования. Понятно, что Chrome не использует системную цепочку для ключей, а вместо этого - собственный магазин. Safari правильно помечает auth.pass.nl, когда корневой центр DigiNotar не является доверенным или удален. Спасибо за эту ссылку!
bmike
Weird. Что-то пошло не так. После публикации этого обновленного сайта и Chrome, и Safari в моей системе начали помечать его. Но пока я занимал этот пост, никто из них не отмечал его. Похоже, есть некоторая задержка в распространении информации о связке ключей в Chrome и Safari? Моя версия Chrome не изменилась за это время. Чумовая.
Ян С.
2

Кажется, это серьезная ошибка в OS X.

Пользователи могут отозвать сертификат с помощью Цепочки для ключей, но если им случится посетить сайт, который использует более защищенные Сертификаты расширенной проверки, Mac примет сертификат EV, даже если он был выдан центром сертификации, помеченным как ненадежный в Цепочке для ключей.

Источник: http://www.computerworld.com

Ларс Вигман
источник
1

Сайт не использует DigiNotar CA сертификат корневого . Корневой сертификат в случае as.digid.nl получен из «Staat der Nederlanden root CA» - который является безопасным (предположительно). Правда, в цепочке сертификатов веб-сайта есть сертификат DigiNotar, но это не корневой сертификат - это просто ссылка в цепочке, и это другой сертификат.

Конрад Рудольф
источник
Правда, но, поскольку «Staat der Nederlanden root CA» был выпущен той же компанией, DigiNotar, я решил также отозвать его.
Ларс Вигман,
0

Возможно, что сертификаты, которые вы видите, подписаны несколькими CA (или промежуточные сертификаты CA подписаны несколькими объектами). Вы должны будете идентифицировать и удалить все подписывающие центры сертификации.

ZZZ
источник
Отмена доверия на одном корневом сертификате работала для меня в Safari. В этом случае промежуточные сертификаты не хранятся в моей цепочке для ключей. Staat der Nederlanden Root CA SHA1 отпечаток 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04
bmike
0

Насколько я знаю, некоторые браузеры (например, Firefox) не используют сертификаты в вашей цепочке для ключей. Chrome основан на Webkit, поэтому я предполагаю, что он использует цепочку для ключей.

Перезапуск Safari не был необходим мне; достаточно было пометить корневой сертификат как «ненадежный» и перезагрузить страницу.

Нельзя сказать, что вы можете только пометить корень (Staat der Nederlanden Root CA) как ненадежного; другие сертификаты находятся не в вашей цепочке для ключей, а передаются с хоста каждый раз, когда вы запускаете сеанс SSL.

Не могли бы вы опубликовать скриншот окна сертификата при загрузке файла as.digid.nl? Может быть, это может пролить свет на проблему ...

Фрэнк Б.
источник