Pourquoi Safari et Chrome ne lancent-ils pas d'avertissements après la suppression des certificats racine

8

Les certificats émis par DigiNotar ont été mis sur liste noire aujourd'hui par Mozilla. L'affichage de sites Web avec des certificats émis par DigiNotar avec une version nocturne de Firefox affichera des avertissements.

Au lieu d'attendre une mise à jour, pour que les certificats soient révoqués sur mon propre système, j'ai supprimé les certificats racine de mon trousseau, mais Chrome valide toujours les certificats du site Web et Safari ne lance aucun avertissement.

Suis-je en train de manquer quelque chose?

Certificats supprimés:

  • DigiNotar Root CA
  • Staat der Nederlanden Root CA
  • Staat der Nederlanden Root CA - G2

Site Web testé: https://as.digid.nl/

Voici un autre site de test qui montre le problème dans Chrome 13.0.782.218: http://auth.pass.nl

J'ai supprimé l'autorité de certification racine DigiNotar de mon trousseau. Chrome a été redémarré. Mais Chrome dit toujours que ce site est valide et répertorie l'autorité de certification racine DigiNotar en tant qu'autorité sur le SSL pour le site.

DigiNotar Root CA Trusted

keychain ssl Lars Wiegman
la source
pareil ici. même l'opéra. Je suppose que les certificats frauduleux sont si rares que tous les principaux navigateurs ont des gestionnaires de révocation de bogues.
hsmiths
Même problème ici. J'ai trouvé cet article de Mozilla qui détaille la suppression manuelle: support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert J'imagine que la suppression du trousseau est essentiellement la même chose. Étrange en effet.
1
Lorsque je définis la racine de l'autorité de certification Staat der Nederlanden sur non approuvée, je reçois l'avertissement de Chrome que le site n'utilise pas de certificat de confiance. J'ai déjà supprimé l'autorité de certification racine DigiNotar.
Ian C.
Lorsque vous définissez le certificat sur "Ne jamais faire confiance", j'obtiens le résultat attendu de Safari comme de Chrome. Ils lancent tous les deux un avertissement.
Lars Wiegman

Réponses:

4

Chaque site que je vérifie que j'ai défini manuellement comme non approuvé affiche un avertissement. Peut-être que les choses changent sur les serveurs si rapidement, différentes personnes faisant les mêmes actions voient des résultats différents.

Mettons de côté le concept de mise sur liste noire en général et la révocation de certificats comme (CRL) ou la vérification en ligne comme OCSP et choisissons simplement le mécanisme des certificats SSL dans le navigateur. Je mettrai de côté Chrome / Firefox / autres navigateurs et me concentrerai uniquement sur Safari et le trousseau Mac, car cela pose suffisamment de problèmes pour ce message.

La réponse courte est que le site que vous listez ne dépend pas du seul certificat qui a été utilisé d'une manière qui a amené la presse à exécuter toutes les histoires de la liste noire.

Il a été utilisé pour signer des certificats qui correspondaient à tout ce qui se terminait par google.com et ils ont été repérés en cours d'utilisation sur des sites qui n'étaient certainement pas google. C'est un équivalent technologique pour quelqu'un qui construit des tunnels dans un coffre de banque. Il ne s'agit pas de creuser un tunnel - mais d'un véritable tunnel fonctionnel autour d'une barrière, tout le monde s'attend à ce qu'il soit solide.

Maintenant, comment savoir pourquoi Safari n'a pas signalé le site que vous avez répertorié comme "mauvais".

Je n'ai supprimé aucun certificat du mac sur lequel je suis et j'ai simplement lancé l'assistant de trousseau pour utiliser l'assistant de certificat (sous le menu Accès au trousseau -> Assistant de certification -> Ouvrir ...

Dans la petite fenêtre de l'autorité de certification, sélectionnez continuer, puis afficher et évaluer, puis afficher et évaluer les certificats, puis continuer.

entrez la description de l'image ici

Comme vous pouvez maintenant le voir, https://as.digid.nl/ propose quatre certificats dans la chaîne de confiance:

  • nom du certificat - type - empreinte SHA1 - état
  • as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - invalide en raison d'une incompatibilité de nom d'hôte (erreur inoffensive - l'outil évalue ce certificat pour votre mac et mon mac n'est pas as.digid.nl)
  • DigiNotar PKIoverheid CA Overheid en Bedrijven - intermédiaire - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valide
  • Staat der Nederlanden Overheid CA - intermédiaire - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valide
  • Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - valide

entrez la description de l'image ici

Dans votre question, vous avez déclaré que vous avez supprimé la clé racine - si c'est le cas, votre safari met en cache les anciennes valeurs ou lorsque vous avez regardé, ce site avait un certificat SSL différent de celui que j'ai vu faire cette réponse. Vous devrez reproduire les étapes que je viens de suivre pour voir quel était le cas.

Dans mon cas, je n'avais qu'à marquer le certificat racine de Staat der Nederlanden Root CA comme non fiable pour que Safari se dérobe et afficher ce message lorsque vous chargez le site.

entrez la description de l'image ici

entrez la description de l'image ici

Étant donné que toute la presse précise que seule l' AC racine DigiNotar est mauvaise, je vais annuler ma modification pour ne pas faire confiance à l' AC racine Staat der Nederlanden .

Je vais marquer l' AC DigiNotar Root comme jamais fiable et attendre et voir ce que fait Apple. Si vous êtes intéressé par ce genre de chose, surveillez la page de sécurité Apple .

bmike
la source
2
Mais le certificat «Staat der Nederlanden Root CA» n'est pas douteux (pour autant que je sache). Le certificat DigiNotar CA doit simplement être révoqué / supprimé et cela ne fonctionne pas.
Konrad Rudolph
J'ai évité tout l'aspect social car la question était simplement de savoir pourquoi Chrome et Safari ne lançaient pas d'erreur. Je devrais peut-être aborder cela plus clairement dans ma réponse ...
bmike
Voir ma mise à jour du OP: Je peux vous montrer un site qui ne dépend de l'autorité de certification racine DigiNotar qui se fera un plaisir Chrome affiche même si je l' ai supprimé leur autorité de certification racine de mon porte - clés.
Ian C.
Awesome @ Ian-C - Je cherchais un homme de paille à tester. Il est clair que Chrome n'utilise pas le trousseau système, mais plutôt sa propre boutique. Safari marque correctement auth.pass.nl lorsque l' autorité de certification racine DigiNotar n'est pas approuvée ou supprimée. Merci pour ce lien!
bmike
Bizarre. Quelque chose de fou est en place. Depuis la publication de ce site mis à jour, Chrome et Safari sur mon système ont commencé à le signaler. Mais pendant que je faisais ce post, aucun d'eux ne le signalait. Il semble qu'il y ait un certain retard dans la propagation des informations du trousseau vers Chrome et Safari peut-être? Ma version Chrome n'a pas changé dans ce laps de temps. Bizarre.
Ian C.
2

Il semble que ce soit un bug grave dans OS X.

Les utilisateurs peuvent révoquer un certificat à l'aide du trousseau, mais s'ils visitent un site qui utilise les certificats de validation étendue plus sécurisés, le Mac acceptera le certificat EV même s'il a été émis par une autorité de certification marquée comme non fiable dans le trousseau.

Source: http://www.computerworld.com

Lars Wiegman
la source
1

Le site n'utilise pas le CA DigiNotar certificat racine . Dans le cas de as.digid.nl, le certificat racine provient de la «Staat der Nederlanden root CA» - qui est sûr (vraisemblablement). Certes, il existe un certificat DigiNotar dans la chaîne de certificats du site Web, mais ce n'est pas le certificat racine - il s'agit simplement d'un lien dans la chaîne et d'un certificat différent .

Konrad Rudolph
la source
Certes, mais parce que la «Staat der Nederlanden root CA» a été émise par la même société, DigiNotar, j'ai décidé de la révoquer également.
Lars Wiegman
0

Il est possible que les certificats que vous voyez soient signés par plusieurs autorités de certification (ou que les certificats d'autorité de certification intermédiaires soient signés par plusieurs entités). Vous devez identifier et supprimer toutes les CA signataires impliquées.

zzz
la source
La révocation de la confiance sur un certificat racine a fonctionné pour moi dans Safari. Dans ce cas, les certificats intermédiaires ne sont pas stockés dans mon trousseau. Staat der Nederlanden Root CA SHA1 empreinte digitale de 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04
bmike
0

Pour autant que je sache, certains navigateurs (comme Firefox) n'utilisent pas les certificats de votre trousseau. Chrome est basé sur Webkit, donc je suppose qu'il utilise le trousseau.

Le redémarrage de Safari n'était pas nécessaire pour moi; marquer le certificat racine comme «non approuvé» et recharger la page était suffisant.

Vous ne pouvez pas uniquement marquer la racine (Staat der Nederlanden Root CA) comme non fiable; les autres certificats ne sont pas dans votre trousseau, mais plutôt transmis depuis l'hôte chaque fois que vous démarrez une session SSL.

Pourriez-vous publier une capture d'écran de la fenêtre de certification lorsque vous chargez as.digid.nl? Peut-être que cela peut éclairer la question ...

Frank B.
la source