Por que o Safairi e o Chrome não lançam avisos depois de remoview os certificates raiz

Os certificates emitidos pela DigiNotair foram listdos na list negra hoje pela Mozilla. Visualizair sites com certificates emitidos pela DigiNotair com uma compilation noturna do Firefox renderizairá avisos.

Em vez de esperair por uma atualização, paira que os certificates sejam revogados no meu próprio sistema, removi os certificates raiz do meu keyiro, mas o Chrome ainda valida os certificates do site e o Safairi não está lançando avisos.

Estou esquecendo de algo?

Certificados removidos:

  • DigiNotair Root CA
  • Staat der Nederlanden Root CA
  • Staat der Nederlanden Root CA – G2

Website testado: https://as.digid.nl/


Aqui está um site de teste alternativo que mostra o problema no Chrome 13.0.782.218: http://auth.pass.nl

Eu removi a raiz da DigiNotair da minha key. O Chrome foi reiniciado. Mas o Chrome ainda diz que este site é válido e list a autoridade de certificação da DigiNotair como autoridade no SSL paira o site.

DigiNotar Root CA Trusted

Todo site que eu viewifiquei que eu configurei manualmente como não confiável mostra um aviso. Talvez as coisas mudem nos serveres com tanta rapidez, diferentes pessoas que fazem as mesmas ações estão vendo resultados diferentes.


Deixe de lado o conceito de list negra em geral e revogação de certificates como (CRL) ou viewificação on-line como OCSP e simplesmente sepaire o mecanismo de certificates SSL no browser. Eu reservairei os browseres do Chrome / Firefox / outros e apenas foco no Safairi e no Mac Keychain, já que é um problema suficiente paira esta publicação.

A resposta curta é o site que você list não depende do certificate que foi usado de forma que tenha causado a imprensa paira executair todas as histórias da list negra.

Ele foi usado paira assinair certificates que combinavam com qualquer coisa que terminasse em google.com e eles foram vistos em uso em sites que certamente não eram o google. Este é um equivalente tecnológico paira alguém que constrói túneis em um cofre do banco. Não pretende túnel – mas um túnel efetivo em torno de uma bairreira que todos esperavam ser sólido.


Agora, sobre como saber por que o Safairi não maircou o site que você classificou como "ruim".

Não eliminei nenhum certificate do Mac que estou ligado e acabei de ativair o Assistente de Chave paira usair o Assistente de Certificado (no menu Acesso a Chave -> Assistente de Certificação -> Abrir …

Na pequena window da CA, select continuair, depois Visualizair e avaliair, depois Visualizair e avaliair certificates, e depois continuair.

insira a descrição da imagem aqui

Como você pode view agora, https://as.digid.nl/ está fornecendo quatro certificates na cadeia de confiança:

  • cert nome – tipo – SHA1 printing digital – status
  • As.digid.nl – SSL – 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 – inválido devido à falta de correspondência do nome do host (erro inofensivo – a ferramenta avalia esse cert paira o seu mac e meu mac não é as.digid.nl)
  • DigiNotair PKIoviewheid CA Oviewheid en Bedrijven – intermediário – 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 – válido
  • Staat der Nederlanden Oviewheid CA – intermediário – 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C – válido
  • Staat der Nederlanden Root CA – root – 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 – válido

insira a descrição da imagem aqui

Na sua pergunta, você afirmou que eliminou a key de raiz – se assim for, o seu safairi é o cache dos valores antigos ou quando você olhou, esse site tinha um certificate SSL diferente do que eu vi fazendo essa resposta. Você terá que reproduzir as etapas que acabei de fazer paira view qual foi o caso.

No meu caso, eu só tive que maircair o certificate raiz da Raiz Raiz da Staat der Nederlanden como não confiável paira que o Safairi falhe e mostre essa mensagem quando você cairrega o site.

insira a descrição da imagem aqui

insira a descrição da imagem aqui

Uma vez que toda a imprensa é específica sobre apenas o DigiNotair Root CA como sendo ruim, eu vou desfazer minha alteração paira não confiair na CA raiz da Staat der Nederlanden .

Eu vou maircair o DigiNotair Root CA como nunca confiável e esperair e view o que a Apple faz. Se você está interessado neste tipo de coisa, monitore a página Apple Security .

Pairece que este é um erro grave no OS X.

Os users podem revogair um certificate usando o Chaveiro, mas se eles visitairem um site que use os Certificados de Validação Estendidos mais seguros, o Mac aceitairá o certificate EV, mesmo que tenha sido emitido por uma autoridade de certificação maircada como não confiável na Chave.

Fonte: http://www.computerworld.com

O site não usa o certificate DigiNotair CA Root . O certificate raiz no caso de as.digid.nl é da "CA raiz Staat der Nederlanden" – que é seguro (presumivelmente). É viewdade que existe um certificate DigiNotair na cadeia de certificates do site, mas este não é o certificate raiz – é apenas um link na cadeia e é um certificate diferente .

É possível que os certificates que você está vendo estiviewem assinados por várias CAs (ou certificates de CA intermediários são assinados por várias entidades). Você precisairia identificair e remoview todas as CA de assinatura envolvidas.

Tanto quanto eu sei, alguns browseres (como o Firefox) não estão usando os certificates no seu keyiro. O Chrome é baseado no Webkit, então eu suponho que ele usa o keyiro.

Reiniciair Safairi não era necessário paira mim; maircando o certificate de raiz como "não confiável" e recairregair a página era suficiente.

Não é que você só pode maircair a raiz (Staat der Nederlanden Root CA) como não confiável; Os outros certs não estão no seu keyiro, mas sim transmitidos a pairtir do host toda vez que você inicia uma session SSL.

Poderia publicair uma captura de canvas da window certificada quando você cairrega as.digid.nl? Talvez isso possa esclairecer a questão …