Warum werfen Safari und Chrome nach dem Entfernen der Stammzertifikate keine Warnungen aus?

8

Von DigiNotar ausgestellte Zertifikate wurden heute von Mozilla auf die schwarze Liste gesetzt. Das Anzeigen von Websites mit von DigiNotar ausgestellten Zertifikaten mit einer nächtlichen Version von Firefox gibt Warnungen aus.

Anstatt auf ein Update zu warten, damit die Zertifikate auf meinem eigenen System widerrufen werden, habe ich die Stammzertifikate aus meinem Schlüsselbund entfernt, aber Chrome überprüft die Website-Zertifikate weiterhin und Safari gibt keine Warnungen aus.

Vermisse ich etwas

Zertifikate entfernt:

  • DigiNotar Root CA.
  • Staat der Nederlanden Root CA.
  • Staat der Nederlanden Wurzel CA - G2

Website getestet: https://as.digid.nl/

Hier ist eine alternative Testseite, die das Problem in Chrome 13.0.782.218 zeigt: http://auth.pass.nl

Ich habe die DigiNotar-Stammzertifizierungsstelle aus meinem Schlüsselbund gelöscht. Chrome wurde neu gestartet. Chrome sagt jedoch weiterhin, dass diese Site gültig ist, und listet die DigiNotar-Stammzertifizierungsstelle als Autorität für das SSL für die Site auf.

DigiNotar Root CA Trusted

keychain ssl Lars Wiegman
quelle
hier gilt das gleiche. sogar Oper. Ich denke, Schurkenzertifikate sind so selten, dass alle großen Browser fehlerhafte Sperrhandler haben.
Schmiede
Selbes Problem hier. Ich habe diesen Artikel von Mozilla gefunden, in dem das manuelle Entfernen detailliert beschrieben wird: support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert Ich stelle mir vor, das Löschen aus dem Schlüsselbund ist im Wesentlichen dasselbe. Tatsächlich seltsam.
1
Wenn ich die Stammzertifizierungsstelle von Staat der Nederlanden auf nicht vertrauenswürdig setze, erhalte ich von Chrome die Warnung, dass die Site kein vertrauenswürdiges Zertifikat verwendet. Ich habe die DigiNotar-Stammzertifizierungsstelle bereits gelöscht.
Ian C.
Wenn ich das Zertifikat auf "Never Trust" setze, erhalte ich das erwartete Ergebnis von Safari als Chrome. Sie werfen beide eine Warnung.
Lars Wiegman

Antworten:

4

Jede Site, die ich überprüfe, dass ich sie manuell als nicht vertrauenswürdig festgelegt habe, zeigt eine Warnung an. Vielleicht ändern sich die Dinge auf den Servern so schnell, dass verschiedene Personen, die dieselben Aktionen ausführen, unterschiedliche Ergebnisse sehen.

Lassen Sie uns das Konzept der Blacklisting im Allgemeinen und der Sperrung von Zertifikaten wie (CRL) oder der Online-Überprüfung wie OCSP beiseite lassen und den Mechanismus der SSL-Zertifikate im Browser herausgreifen. Ich werde Chrome / Firefox / andere Browser beiseite legen und mich nur auf Safari und den Mac-Schlüsselbund konzentrieren, da dies für diesen Beitrag problematisch genug ist.

Die kurze Antwort lautet: Die Website, die Sie auflisten, hängt nicht von dem einen Zertifikat ab, das auf eine Weise verwendet wurde, die die Presse veranlasst hat, alle Blacklist-Geschichten zu veröffentlichen.

Es wurde verwendet, um Zertifikate zu signieren, die mit allem übereinstimmen, was auf google.com endet, und sie wurden auf Websites entdeckt, die mit Sicherheit nicht google waren. Dies ist ein technologisches Äquivalent zu jemandem, der Tunnel in einen Banktresor baut. Keine Pläne zum Tunneln - sondern ein funktionierender Tunnel um eine Barriere, von der jeder erwartet, dass sie solide ist.

Nun erfahren Sie, warum Safari die von Ihnen aufgeführte Website nicht als "schlecht" gekennzeichnet hat.

Ich habe keine Zertifikate von dem Mac gelöscht, auf dem ich mich befinde, und habe nur den Schlüsselbund-Assistenten gestartet, um den Zertifikat-Assistenten zu verwenden (im Menü Schlüsselbund-Zugriff -> Zertifizierungs-Assistent -> Öffnen ...

Wählen Sie im kleinen CA-Fenster Weiter, dann Anzeigen und Auswerten, dann Zertifikate anzeigen und auswerten und dann Weiter.

Geben Sie hier die Bildbeschreibung ein

Wie Sie jetzt sehen können, stellt https://as.digid.nl/ vier Zertifikate in der Vertrauenskette bereit:

  • Zertifikatsname - Typ - SHA1 Fingerabdruck - Status
  • as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - ungültig aufgrund nicht übereinstimmender Hostnamen (harmloser Fehler - das Tool wertet dieses Zertifikat für Ihren Mac und meinen Mac aus ist nicht as.digid.nl)
  • DigiNotar PKIoverheid CA Overheid en Bedrijven - Mittelstufe - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - gültig
  • Staat der Nederlanden Overheid CA - Mittelstufe - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - gültig
  • Staat der Nederlanden Wurzel CA - Wurzel - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - gültig

Geben Sie hier die Bildbeschreibung ein

In Ihrer Frage haben Sie angegeben, dass Sie den Stammschlüssel gelöscht haben. In diesem Fall speichert Ihre Safari entweder die alten Werte im Cache, oder als Sie nachgesehen haben, hatte diese Site ein anderes SSL-Zertifikat als das, das ich bei dieser Antwort gesehen habe. Sie müssen die Schritte reproduzieren, die ich gerade unternommen habe, um zu sehen, was der Fall war.

In meinem Fall musste ich nur das Stammzertifikat der Staat der Nederlanden-Stammzertifizierungsstelle als nicht vertrauenswürdig markieren , damit Safari diese Meldung beim Laden der Site blockiert und anzeigt.

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Da in der gesamten Presse nur die DigiNotar-Stammzertifizierungsstelle als schlecht eingestuft wird, werde ich meine Änderung rückgängig machen, um der Staat der Nederlanden-Stammzertifizierungsstelle nicht zu vertrauen .

Ich werde die DigiNotar-Stammzertifizierungsstelle als niemals vertrauenswürdig markieren und abwarten, was Apple tut. Wenn Sie an solchen Dingen interessiert sind, überwachen Sie die Apple-Sicherheitsseite .

bmike
quelle
2
Das Zertifikat „Staat der Nederlanden Root CA“ ist jedoch nicht unzuverlässig (soweit ich weiß). Lediglich das DigiNotar CA-Zertifikat sollte widerrufen / gelöscht werden, und das funktioniert nicht.
Konrad Rudolph
Ich habe den gesamten sozialen Aspekt vermieden, da die Frage einfach war, warum Chrom und Safari keinen Fehler werfen. Vielleicht sollte ich das in meiner Antwort klarer
ansprechen
Siehe mein Update zum OP: Ich kann Ihnen eine Site anzeigen , die von der DigiNotar-Stammzertifizierungsstelle abhängt, die Chrome gerne anzeigt, obwohl ich ihre Stammzertifizierungsstelle aus meinem Schlüsselbund gelöscht habe.
Ian C.
Awesome @ Ian-C - Ich habe nach einem Strohmann gesucht, den ich testen kann. Es ist klar, dass Chrome nicht den Systemschlüsselbund verwendet, sondern einen eigenen Speicher. Safari kennzeichnet auth.pass.nl korrekt, wenn die DigiNotar- Stammzertifizierungsstelle nicht vertrauenswürdig ist oder gelöscht wird. Danke für diesen Link!
bmike
Seltsam. Etwas Verrücktes ist los. Seit dem Posten dieser aktualisierten Site haben sowohl Chrome als auch Safari auf meinem System damit begonnen, sie zu kennzeichnen. Aber während ich diesen Beitrag machte, markierte keiner von ihnen ihn. Es scheint, dass es eine gewisse Verzögerung bei der Weitergabe von Schlüsselbundinformationen an Chrome und Safari gibt. Meine Chrome-Version hat sich in diesem Zeitraum nicht geändert. Ausgeflippt.
Ian C.
2

Es scheint, dass dies ein schwerwiegender Fehler in OS X ist.

Benutzer können ein Zertifikat mithilfe des Schlüsselbunds widerrufen. Wenn sie jedoch zufällig eine Site besuchen, auf der die sichereren erweiterten Validierungszertifikate verwendet werden, akzeptiert der Mac das EV-Zertifikat, auch wenn es von einer in Schlüsselbund als nicht vertrauenswürdig gekennzeichneten Zertifizierungsstelle ausgestellt wurde.

Quelle: http://www.computerworld.com

Lars Wiegman
quelle
1

Die Website verwendet nicht das DigiNotar CA Root-Zertifikat . Das Stammzertifikat im Fall von as.digid.nl stammt von der „Staat der Nederlanden-Stammzertifizierungsstelle“ - was (vermutlich) sicher ist. Es gibt zwar ein DigiNotar-Zertifikat in der Zertifikatskette der Website, aber dies ist nicht das Stammzertifikat - es ist lediglich ein Glied in der Kette und ein anderes Zertifikat.

Konrad Rudolph
quelle
Es stimmt, aber da die "Staat der Nederlanden root CA" von derselben Firma, DigiNotar, herausgegeben wurde, habe ich beschlossen, sie ebenfalls zu widerrufen.
Lars Wiegman
0

Möglicherweise werden die angezeigten Zertifikate von mehreren Zertifizierungsstellen signiert (oder Zwischenzertifizierungsstellenzertifikate werden von mehreren Entitäten signiert). Sie müssten alle beteiligten signierenden Zertifizierungsstellen identifizieren und entfernen.

zzz
quelle
Das Widerrufen des Vertrauens in ein Stammzertifikat hat in Safari für mich funktioniert. In diesem Fall werden die Zwischenzertifikate nicht in meinem Schlüsselbund gespeichert. Staat der Nederlanden Wurzel CA SHA1 Fingerabdruck von 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04
bmike
0

Soweit ich weiß, verwenden einige Browser (wie Firefox) die Zertifikate in Ihrem Schlüsselbund nicht. Chrome basiert auf Webkit, daher gehe ich davon aus, dass der Schlüsselbund verwendet wird.

Ein Neustart von Safari war für mich nicht erforderlich. Es war ausreichend, das Stammzertifikat als "nicht vertrauenswürdig" zu markieren und die Seite neu zu laden.

Nicht, dass Sie nur die Wurzel (Staat der Nederlanden Root CA) als nicht vertrauenswürdig markieren können; Die anderen Zertifikate befinden sich nicht in Ihrem Schlüsselbund, sondern werden jedes Mal vom Host übertragen, wenn Sie eine SSL-Sitzung starten.

Könnten Sie beim Laden von as.digid.nl einen Screenshot des Zertifizierungsfensters veröffentlichen? Vielleicht kann das etwas Licht in das Thema bringen ...

Frank B.
quelle