Mengapa Safari dan Chrome tidak memberikan peringatan setelah menghapus sertifikat root

8

Sertifikat yang dikeluarkan oleh DigiNotar telah masuk daftar hitam hari ini oleh Mozilla. Melihat situs web dengan sertifikat yang dikeluarkan oleh DigiNotar dengan versi Firefox yang dibuat setiap malam akan memberikan peringatan.

Alih-alih menunggu pembaruan, agar sertifikat dicabut di sistem saya sendiri, saya menghapus sertifikat root dari Gantungan Kunci saya tetapi Chrome masih memvalidasi sertifikat situs web dan Safari tidak memberikan peringatan apa pun.

Apakah saya melewatkan sesuatu?

Sertifikat dihapus:

  • DigiNotar Root CA
  • Staat der Nederlanden Root CA
  • Staat der Nederlanden Root CA - G2

Situs web diuji: https://as.digid.nl/


Berikut adalah situs uji alternatif yang menunjukkan masalah di Chrome 13.0.782.218: http://auth.pass.nl

Saya telah menghapus CA akar DigiNotar dari Keychain saya. Chrome telah dimulai ulang. Tetapi Chrome masih mengatakan situs ini valid dan mencantumkan CA akar DigiNotar sebagai otoritas pada SSL untuk situs tersebut.

DigiNotar Root CA Trusted

Lars Wiegman
sumber
sama disini. bahkan opera. Saya kira sertifikat jahat sangat jarang semua browser utama memiliki penangan pencabutan kereta.
hsmiths
Masalah yang sama disini. Saya menemukan artikel ini dari Mozilla yang merinci penghapusan manual: support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert Saya membayangkan menghapus dari gantungan kunci pada dasarnya adalah hal yang sama. Memang aneh.
1
Ketika saya mengatur Staat der Nederlanden Root CA menjadi tidak dipercaya saya mendapatkan peringatan dari Chrome bahwa situs tersebut tidak menggunakan sertifikat tepercaya. Saya sudah menghapus CA akar DigiNotar.
Ian C.
Saat mengatur sertifikat ke "Never Trust" saya mendapatkan hasil yang diharapkan dari Safari sebagai Chrome. Mereka berdua melempar peringatan.
Lars Wiegman

Jawaban:

4

Setiap situs yang saya periksa telah saya setel secara manual sebagai tidak tepercaya menampilkan peringatan. Mungkin banyak hal berubah di server dengan sangat cepat, orang yang berbeda melakukan tindakan yang sama melihat hasil yang berbeda.


Mari sisihkan konsep daftar hitam secara umum dan pencabutan sertifikat suka (CRL) atau verifikasi online suka OCSP dan cukup pisahkan mekanisme sertifikat SSL di browser. Saya akan menyisihkan Chrome / Firefox / browser lain dan hanya fokus pada Safari dan Keychain Mac karena itu cukup masalah untuk posting ini.

Jawaban singkatnya adalah situs yang Anda daftarkan tidak bergantung pada satu sertifikat yang digunakan dengan cara yang menyebabkan pers menjalankan semua cerita daftar hitam.

Itu digunakan untuk menandatangani sertifikat yang cocok dengan apa pun yang berakhir di google.com dan mereka terlihat digunakan di situs yang jelas bukan google. Ini adalah teknologi yang setara dengan seseorang yang membuat terowongan menjadi brankas bank. Bukan rencana untuk terowongan - tetapi terowongan yang berfungsi di sekitar penghalang yang diharapkan semua orang solid.


Sekarang bagaimana cara mengetahuinya Mengapa Safari tidak menandai situs yang Anda cantumkan "buruk".

Saya belum menghapus sertifikat apa pun dari mac yang saya pakai dan baru saja mengaktifkan Asisten Keychain untuk menggunakan Asisten Sertifikat (di bawah Akses Gantungan Kunci menu - & gt; Asisten Sertifikasi - & gt; Buka...

Di jendela CA kecil, pilih lanjutkan, lalu Lihat dan Evaluasi, lalu Lihat dan evaluasi sertifikat, kemudian lanjutkan.

enter image description here

Seperti yang dapat Anda lihat sekarang, https://as.digid.nl/ melayani hingga empat sertifikat dalam rantai kepercayaan:

  • nama sertifikat - tipe - SHA1 sidik jari - status
  • as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - tidak valid karena ketidakcocokan nama host (kesalahan tidak berbahaya - alat mengevaluasi sertifikat itu untuk anda mac dan mac saya tidak as.digid.nl)
  • DigiNotar PKIoverheid CA Overheid en Bedrijven - menengah - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valid
  • Staat der Nederlanden Overheid CA - menengah - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valid
  • Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - valid

enter image description here

Dalam pertanyaan Anda, Anda menyatakan telah menghapus kunci root - jika demikian, safari Anda menyimpan cache nilai lama atau ketika Anda melihat, situs itu memiliki sertifikat SSL yang berbeda dari yang saya lihat ketika membuat jawaban ini. Anda harus mereproduksi langkah-langkah yang baru saja saya ambil untuk melihat yang terjadi.

Dalam hal ini, Saya hanya harus menandai Staat der Nederlanden Root CA sertifikat root sebagai tidak tepercaya untuk membuat Safari menolak dan menunjukkan pesan ini saat Anda memuat situs.

enter image description here

enter image description here

Karena semua pers hanya spesifik tentang DigiNotar Root CA sebagai buruk, saya akan membatalkan perubahan saya untuk tidak mempercayai Staat der Nederlanden Root CA .

Saya akan menandai DigiNotar Root CA karena tidak pernah dipercaya dan menunggu dan melihat apa yang dilakukan Apple. Jika Anda tertarik dengan hal semacam ini, lakukan monitor Keamanan Apple halaman.

bmike
sumber
2
Tetapi sertifikat "Staat der Nederlanden Root CA" bukan tidak dipercaya (sejauh yang saya tahu). Hanya sertifikat CA DigiNotar yang harus dicabut / dihapus dan itu tidak berfungsi.
Konrad Rudolph
Saya menghindari seluruh aspek sosial karena pertanyaannya adalah mengapa chrome dan safari tidak membuat kesalahan. Mungkin saya harus mengatasinya dalam jawaban saya lebih jelas ...
bmike
Lihat pembaruan saya ke OP: Saya bisa menunjukkan kepada Anda sebuah situs itu tidak bergantung pada CA akar DigiNotar yang Chrome akan dengan senang hati tampilkan meskipun saya telah menghapus CA root mereka dari Keychain saya.
Ian C.
Luar biasa @ Ian-C - Saya sudah mencari pria jerami untuk diuji. Jelas bahwa chrome tidak menggunakan gantungan kunci sistem melainkan toko itu sendiri. Safari menandai dengan benar auth.pass.nl ketika DigiNotar Root CA tidak dipercaya atau dihapus. Terima kasih untuk tautan tersebut!
bmike
Aneh. Sesuatu yang kacau sudah habis. Sejak memposting situs yang diperbarui itu, baik Chrome maupun Safari di sistem saya sudah mulai menandai itu. Tetapi ketika saya sedang membuat posting itu, tidak satu pun dari mereka yang menandai itu. Tampaknya ada beberapa keterlambatan dalam penyebaran info Keychain ke Chrome dan Safari mungkin? Versi Chrome saya tidak berubah dalam jangka waktu itu. Aneh.
Ian C.
2

Sepertinya ini adalah bug serius di OS X.

Pengguna dapat mencabut sertifikat menggunakan Keychain, tetapi jika mereka mengunjungi situs yang menggunakan Sertifikat Validasi Diperpanjang yang lebih aman, Mac akan menerima sertifikat EV meskipun dikeluarkan oleh otoritas sertifikat yang ditandai tidak dipercaya dalam Keychain.

Sumber: http://www.computerworld.com

Lars Wiegman
sumber
1

Situs web ini tidak menggunakan DigiNotar CA Sertifikat root . Sertifikat root dalam kasus as.digid.nl berasal dari “Staat der Nederlanden root CA” - yang aman (mungkin). Benar, ada sertifikat DigiNotar di rantai sertifikat situs web tetapi ini tidak sertifikat root - itu hanyalah tautan dalam rantai, dan merupakan a berbeda sertifikat.

Konrad Rudolph
sumber
Benar, tetapi karena "Staat der Nederlanden root CA" dikeluarkan oleh perusahaan yang sama, DigiNotar, saya memutuskan untuk mencabutnya juga.
Lars Wiegman
0

Mungkin saja sertifikat yang Anda lihat ditandatangani oleh banyak CA (atau sertifikat CA menengah ditandatangani oleh banyak entitas). Anda harus mengidentifikasi dan menghapus semua CA penandatangan yang terlibat.

zzz
sumber
Mencabut kepercayaan pada satu sertifikat root bekerja untuk saya di Safari. Dalam hal ini, sertifikat perantara tidak disimpan di gantungan kunci saya. Staat der Nederlanden Root CA Sidik jari SHA1 dari 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04
bmike
0

Sejauh yang saya tahu, beberapa browser (seperti Firefox) tidak menggunakan sertifikat di gantungan kunci Anda. Chrome didasarkan pada Webkit, jadi saya menganggap itu menggunakan gantungan kunci.

Memulai ulang Safari tidak perlu bagi saya; menandai sertifikat root sebagai "tidak dipercaya" dan memuat ulang laman sudah cukup.

Bukan berarti Anda hanya dapat menandai root (Staat der Nederlanden Root CA) sebagai tidak dipercaya; sertifikat lainnya tidak ada dalam gantungan kunci Anda, melainkan dikirim dari host setiap kali Anda memulai sesi SSL.

Bisakah Anda memposting tangkapan layar dari jendela sertifikat ketika Anda memuat as.digid.nl? Mungkin itu bisa menjelaskan masalah ini ...

Frank B.
sumber