Safari ve Chrome neden kök sertifikaları kaldırdıktan sonra uyarı vermiyor?

DigiNotar tarafından verilen sertifikalar bugün Mozilla tarafından kara listeye alındı. Her gece Firefox derlemesi ile DigiNotar tarafından verilen sertifikalara sahip web sitelerini görüntülemek uyarı verir.

Bir güncellemeyi beklemek yerine, sertifikaların kendi sistemimde iptal edilmesi için kök sertifikaları Anahtarlık'ımdan kaldırdım, ancak Chrome yine de web sitesi sertifikalarını doğruladı ve Safari herhangi bir uyarı vermiyor.

Bir şey mi kaçırıyorum?

Kaldırılan sertifikalar:

• DigiNotar Root CA
• Staat der Nederlanden Kök CA
• Staat der Nederlanden Kökü CA - G2

Test edilen web sitesi: https://as.digid.nl/

Chrome 13.0.782.218'de sorunu gösteren alternatif bir test sitesi: http://auth.pass.nl

DigiNotar kök CA'sını Anahtarlıkımdan sildim. Chrome yeniden başlatıldı. Ancak Chrome hala bu sitenin geçerli olduğunu söylüyor ve DigiNotar kök CA'sını sitenin SSL'sindeki otorite olarak listeliyor.

El ile güvenilmeyen olarak ayarladığımı kontrol ettiğim her site bir uyarı gösteriyor. Belki sunuculardaki işler çok hızlı değişiyor, aynı eylemleri yapan farklı insanlar farklı sonuçlar görüyor.

Genel olarak kara listeleme kavramını ve (CRL) gibi sertifika iptali veya OCSP gibi çevrimiçi doğrulama kavramını bir kenara bırakalım ve tarayıcıdaki SSL sertifikalarının mekanizmasını seçelim. Chrome / Firefox / diğer tarayıcıları bir kenara bırakacağım ve bu yazı için yeterince sorun olduğu için Safari ve Mac Anahtarlık'a odaklanacağım.

Kısa yanıt, listelediğiniz sitenin, basının tüm kara liste öykülerini çalıştırmasına neden olacak şekilde kullanılan bir sertifikaya bağlı olmamasıdır.

Google.com ile biten herhangi bir şeyle eşleşen sertifikaları imzalamak için kullanıldı ve kesinlikle google olmayan sitelerde kullanımları tespit edildi. Bu, bir banka kasasına tünel inşa eden birine teknolojik bir eşdeğerdir. Tünel açmayı değil - herkesin sağlam olmasını beklediği bir bariyer etrafında çalışan gerçek bir tünel.

Şimdi Safari'nin neden listelediğiniz siteyi "kötü" olarak işaretlemediğini nasıl anlayacağınıza dair

Çalıştığım mac'tan herhangi bir sertifika silmedim ve Sertifika Yardımcısı'nı kullanmak için Anahtarlık Yardımcısı'nı ateşledim ( Anahtarlık Erişimi menüsü -> Sertifika Yardımcısı -> Aç ...

Küçük CA penceresinde devam et'i, ardından Görüntüle ve Değerlendir'i, ardından Sertifikaları görüntüle ve değerlendir'i seçin, ardından devam edin.

Gördüğünüz gibi, https://as.digid.nl/ güven zincirinde dört sertifika sunuyor:

• sertifika adı - tür - SHA1 parmak izi - durum
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - konak ad uyuşmazlığı nedeniyle geçersiz (zararsız hatası - alet değerlendirir bunun için sertifika sizin mac ve benim mac digid.nl değil)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - ara - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - geçerli
• Staat der Nederlanden Overheid CA - orta seviye - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - geçerli
• Staat der Nederlanden Root CA - kök - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - geçerli

Sorunuzda kök anahtarı sildiğinizi belirttiniz - öyleyse, safariniz eski değerleri önbelleğe alıyor veya baktığınızda, söz konusu sitenin bu cevabı verdiğimden farklı bir SSL sertifikası vardı. Durumun hangisi olduğunu görmek için attığım adımları tekrarlamanız gerekecek.

Benim durumumda, sadece Staat der Nederlanden Kök CA kök sertifikasını Safari'nin engellemesini sağlamak ve siteyi yüklediğinizde bu iletiyi göstermek için güvenilmez olarak işaretlemem gerekiyordu.

Tüm basın sadece DigiNotar Root CA hakkında kötü olduğu için özel olduğundan, Staat der Nederlanden Root CA'ya güvenmemek için değişiklikimi geri alacağım .

Ben işaretlemek için gidiyorum DigiNotar Kök CA güvenilmez asla ve bekleyin ve Apple ne yaptığını görmek. Bu tür şeylerle ilgileniyorsanız Apple Güvenlik sayfasını izleyin .

Bu OS X'te ciddi bir hata gibi görünüyor.

Kullanıcılar, Anahtarlık kullanarak bir sertifikayı iptal edebilir, ancak daha güvenli Genişletilmiş Doğrulama Sertifikalarını kullanan bir siteyi ziyaret ederlerse, Mac, Anahtarlık'ta güvenilmeyen olarak işaretlenmiş bir sertifika yetkilisi tarafından verilmiş olsa bile EV sertifikasını kabul eder.

Kaynak: http://www.computerworld.com

Web sitesi DigiNotar CA Root sertifikasını kullanmıyor . As.digid.nl durumunda kök sertifika, güvenli (muhtemelen) “Staat der Nederlanden kök CA” ya aittir. Doğru, web sitesinin sertifika zincirinde bir DigiNotar sertifikası var, ancak bu kök sertifika değil - sadece zincirdeki bir bağlantıdır ve farklı bir sertifikadır.

Gördüğünüz sertifikaların birden çok CA tarafından imzalanmış olması mümkündür (veya ara CA sertifikaları birden çok varlık tarafından imzalanmış olabilir). İlgili tüm imza CA'larını tanımlamanız ve kaldırmanız gerekir.

Bildiğim kadarıyla, bazı tarayıcılar (Firefox gibi) anahtarlığınızdaki sertifikaları kullanmıyor. Chrome Webkit tabanlıdır, bu yüzden anahtarlık kullandığını varsayalım.

Safari'yi yeniden başlatmak benim için gerekli değildi; kök sertifikayı "güvenilmeyen" olarak işaretlemek ve sayfayı yeniden yüklemek yeterliydi.

Kökü (Staat der Nederlanden Root CA) güvenilmez olarak işaretleyebileceğinizden değil; diğer sertifikalar anahtarlığınızda değil, her SSL oturumuna başladığınızda ana bilgisayardan aktarılır.

As.digid.nl dosyasını yüklerken certifcate penceresinin ekran görüntüsünü gönderebilir misiniz? Belki bu konuya ışık tutabilir ...