Tại sao Safari và Chrome không đưa ra cảnh báo sau khi xóa chứng chỉ gốc

Chứng chỉ do DigiNotar cấp đã bị liệt vào danh sách đen ngày hôm nay của Mozilla. Xem các trang web có chứng chỉ do DigiNotar cấp với bản dựng Firefox hàng đêm sẽ đưa ra cảnh báo.

Thay vì chờ cập nhật, để thu hồi chứng chỉ trên hệ thống của riêng tôi, tôi đã xóa chứng chỉ gốc khỏi Keychain nhưng Chrome vẫn xác thực chứng chỉ trang web và Safari không đưa ra bất kỳ cảnh báo nào.

Tui bỏ lỡ điều gì vậy?

Giấy chứng nhận bị xóa:

• Root DigiNotar
• Staat der Nederlanden Root CA
• Staat der Nederlanden Root CA - G2

Trang web đã thử nghiệm: https://as.digid.nl/

Đây là một trang web thử nghiệm thay thế cho thấy sự cố trong Chrome 13.0.782.218: http://auth.pass.nl

Tôi đã xóa CA gốc DigiNotar khỏi Keychain của mình. Chrome đã được khởi động lại. Nhưng Chrome vẫn cho biết trang web này hợp lệ và liệt kê CA gốc DigiNotar là cơ quan có thẩm quyền trên SSL cho trang web.

Mỗi trang web tôi kiểm tra rằng tôi đã đặt thủ công là không đáng tin cậy sẽ hiển thị cảnh báo. Có lẽ mọi thứ đang thay đổi trên các máy chủ rất nhanh, những người khác nhau thực hiện cùng một hành động đang thấy kết quả khác nhau.

Hãy tạm gác khái niệm danh sách đen nói chung và thu hồi chứng chỉ như (CRL) hoặc xác minh trực tuyến như OCSP và chỉ cần tách rời cơ chế chứng chỉ SSL trong trình duyệt. Tôi sẽ đặt Chrome / Firefox / các trình duyệt khác sang một bên và chỉ tập trung vào Safari và Mac Keychain vì điều đó đủ rắc rối cho bài đăng này.

Câu trả lời ngắn gọn là trang web bạn liệt kê không phụ thuộc vào một chứng chỉ được sử dụng theo cách khiến báo chí chạy tất cả các câu chuyện trong danh sách đen.

Nó được sử dụng để ký các chứng chỉ phù hợp với bất kỳ thứ gì kết thúc trong google.com và chúng được phát hiện sử dụng trên các trang web chắc chắn không phải là google. Đây là một công nghệ tương đương với việc ai đó xây dựng các đường hầm vào kho tiền ngân hàng. Không có kế hoạch đào đường hầm - nhưng một đường hầm thực tế đang hoạt động xung quanh một rào chắn mà mọi người dự kiến ​​sẽ vững chắc.

Bây giờ làm thế nào để biết tại sao Safari không gắn cờ trang web bạn liệt kê là "xấu".

Tôi chưa xóa bất kỳ chứng chỉ nào khỏi mac Tôi đang bật và chỉ cần bật Trợ lý Keychain để sử dụng Trợ lý chứng chỉ (trong menu Keychain Access -> Trợ lý chứng nhận -> Mở ...

Trong cửa sổ CA nhỏ, chọn tiếp tục, sau đó Xem và Đánh giá, sau đó Xem và đánh giá chứng chỉ, sau đó tiếp tục.

Như bây giờ bạn có thể thấy, https://as.digid.nl/ đang phục vụ bốn chứng chỉ trong chuỗi tin cậy:

• tên chứng chỉ - loại - dấu vân tay SHA1 - trạng thái
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - vô hiệu do tên máy chủ không phù hợp (lỗi vô hại - công cụ đánh giá lại rằng cert cho bạn mac và mac của tôi không phải là as.digid.nl)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - trung cấp - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - hợp lệ
• Staat der Nederlanden Overheid CA - trung cấp - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - hợp lệ
• Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - hợp lệ

Trong câu hỏi của bạn, bạn nói rằng bạn đã xóa khóa gốc - nếu vậy, safari của bạn đang lưu trữ các giá trị cũ hoặc khi bạn nhìn, trang web đó có chứng chỉ SSL khác với chứng chỉ tôi thấy khi trả lời. Bạn sẽ phải tạo lại các bước tôi vừa thực hiện để xem đó là trường hợp nào.

Trong trường hợp của tôi, tôi chỉ phải đánh dấu chứng chỉ gốc Staat der Nederlanden Root CA là không đáng tin cậy để khiến Safari chùn bước và hiển thị thông báo này khi bạn tải trang web.

Vì tất cả các báo chí là cụ thể về chỉ DigiNotar Root CA như là xấu, tôi sẽ hoàn tác thay đổi của tôi để không tin tưởng vào Staat der Nederlanden Root CA .

Tôi sẽ đánh dấu DigiNotar Root CA là không bao giờ được tin tưởng và chờ xem Apple làm gì. Nếu bạn quan tâm đến loại điều này, hãy theo dõi trang Apple Security .

Có vẻ như đây là một lỗi nghiêm trọng trong OS X.

Người dùng có thể thu hồi chứng chỉ bằng Keychain, nhưng nếu họ tình cờ truy cập trang web sử dụng Chứng chỉ xác thực mở rộng an toàn hơn, Mac sẽ chấp nhận chứng chỉ EV ngay cả khi được cấp bởi cơ quan chứng nhận được đánh dấu là không tin cậy trong Keychain.

Nguồn: http://www.computerworld.com

Trang web này không sử dụng chứng chỉ DigiNotar CA Root . Chứng chỉ gốc trong trường hợp as.digid.nl là từ CA Staat der Nederlanden root CA - - an toàn (có lẽ là). Đúng, có một chứng chỉ DigiNotar trong chuỗi chứng chỉ của trang web nhưng đây không phải là chứng chỉ gốc - nó chỉ là một liên kết trong chuỗi và là một chứng chỉ khác .

Có thể các certs bạn đang thấy được ký bởi nhiều CA (hoặc các cer CA trung gian được ký bởi nhiều thực thể). Bạn sẽ phải xác định và xóa tất cả các CA ký có liên quan.

Theo tôi biết, một số trình duyệt (như Firefox) không sử dụng chứng chỉ trong móc khóa của bạn. Chrome dựa trên Webkit, vì vậy tôi cho rằng nó sử dụng móc khóa.

Khởi động lại Safari là không cần thiết đối với tôi; đánh dấu chứng chỉ gốc là "không đáng tin cậy" và tải lại trang là đủ.

Không phải là bạn chỉ có thể đánh dấu gốc (Staat der Nederlanden Root CA) là không đáng tin cậy; các certs khác không có trong móc khóa của bạn, mà được truyền từ máy chủ mỗi khi bạn bắt đầu phiên SSL.

Bạn có thể đăng ảnh chụp màn hình của cửa sổ certifcate khi bạn tải as.digid.nl không? Có lẽ điều đó có thể làm sáng tỏ vấn đề ...