เหตุใด Safari และ Chrome จึงไม่ทิ้งคำเตือนหลังจากลบใบรับรองรูท

8

ใบรับรองที่ออกโดย DigiNotar ได้รับการขึ้นบัญชีดำในวันนี้โดย Mozilla การดูเว็บไซต์ที่มีใบรับรองที่ออกโดย DigiNotar พร้อมการสร้าง Firefox ทุกคืนจะมีคำเตือน

แทนที่จะรอการอัปเดตเพื่อให้เพิกถอนใบรับรองในระบบของฉันฉันได้ลบใบรับรองรูทออกจาก Keychain แต่ Chrome ยังตรวจสอบใบรับรองเว็บไซต์และ Safari ไม่ทิ้งคำเตือนใด ๆ

ฉันพลาดอะไรไปรึเปล่า?

ลบใบรับรองแล้ว:

  • DigiNotar Root CA
  • Staat der Nederlanden Root CA
  • Staat der Nederlanden Root CA - G2

ทดสอบเว็บไซต์แล้ว: https://as.digid.nl/

นี่คือเว็บไซต์ทดสอบสำรองที่แสดงปัญหาใน Chrome 13.0.782.218: http://auth.pass.nl

ฉันลบ DigiNotar root CA ออกจาก Keychain Chrome ได้รับการรีสตาร์ท แต่ Chrome ก็ยังบอกว่าไซต์นี้ใช้ได้และแสดง DigiNotar root CA เป็นสิทธิใน SSL สำหรับเว็บไซต์

DigiNotar Root CA ที่เชื่อถือได้

keychain  ssl 
Lars Wiegman
แหล่งที่มา
กันที่นี่ แม้กระทั่งโอเปร่า ฉันเดา certs cgue หายากดังนั้นเบราว์เซอร์ที่สำคัญทั้งหมดมีตัวจัดการการเพิกถอนบั๊กกี้
ช่างตีเหล็ก
ปัญหาเดียวกันที่นี่ ฉันพบบทความนี้จาก Mozilla ที่รายละเอียดการกำจัดด้วยตนเอง: support.mozilla.com/en-US/kb/deleting-diginotar-ca-certฉันคิดว่าการลบจากพวงกุญแจเป็นสิ่งเดียวกัน แปลกแน่นอน
1
เมื่อฉันตั้งค่ารูต CA ของ Staat der Nederlanden ให้ไม่น่าเชื่อถือฉันได้รับคำเตือนจาก Chrome ว่าไซต์นั้นไม่ได้ใช้ใบรับรองที่เชื่อถือได้ ฉันลบ DigiNotar root CA แล้ว
Ian C.
เมื่อตั้งค่าใบรับรองเป็น "ไม่น่าเชื่อถือ" ฉันได้รับผลลัพธ์ที่คาดหวังจากทั้ง Safari เป็น Chrome พวกเขาทั้งคู่ส่งสัญญาณเตือน
Lars Wiegman

คำตอบ:

4

ทุกไซต์ที่ฉันตรวจสอบว่าฉันได้ตั้งค่าด้วยตนเองเป็นไม่น่าเชื่อถือแสดงคำเตือน บางทีสิ่งต่าง ๆ กำลังเปลี่ยนแปลงบนเซิร์ฟเวอร์อย่างรวดเร็วผู้คนต่างกันที่ทำสิ่งเดียวกันก็เห็นผลลัพธ์ที่ต่างกัน

มากำหนดแนวคิดของการขึ้นบัญชีดำโดยทั่วไปและการเพิกถอนใบรับรองเช่น (CRL) หรือการตรวจสอบออนไลน์เช่นOCSPและแยกกลไกของใบรับรอง SSL ในเบราว์เซอร์ ฉันจะตั้งค่า Chrome / Firefox / เบราว์เซอร์อื่น ๆ และเพียงมุ่งเน้นไปที่ Safari และ Mac Keychain เพราะเป็นปัญหาสำหรับโพสต์นี้

คำตอบสั้น ๆ คือเว็บไซต์ที่คุณแสดงรายการไม่ได้ขึ้นอยู่กับใบรับรองหนึ่งใบที่ใช้ในลักษณะที่ทำให้เกิดการกดเพื่อเรียกใช้เรื่องราวบัญชีดำทั้งหมด

มันถูกใช้เพื่อลงนามใบรับรองที่ตรงกับสิ่งที่ลงท้ายด้วย google.com และพวกเขาถูกพบในการใช้งานบนเว็บไซต์ที่ไม่ใช่ google แน่นอน สิ่งนี้เทียบเท่าเทคโนโลยีที่มีคนสร้างอุโมงค์เข้าไปในหลุมฝังศพของธนาคาร ไม่ใช่แผนการขุดอุโมงค์ - แต่อุโมงค์ทำงานจริงรอบ ๆ สิ่งกีดขวางทุกคนคาดว่าจะมั่นคง

ตอนนี้เกี่ยวกับวิธีที่จะรู้ว่าทำไม Safari ไม่ตั้งค่าสถานะเว็บไซต์ที่คุณระบุว่า "ไม่ดี"

ฉันไม่ได้ลบใบรับรองใด ๆ จากเครื่อง Mac ที่ฉันเปิดอยู่และเพิ่งเปิดใช้ Keychain Assistant เพื่อใช้ผู้ช่วยใบรับรอง (ภายใต้เมนูKeychain Access -> ผู้ช่วยการรับรอง -> เปิด ...

ในหน้าต่าง CA ขนาดเล็กเลือกทำต่อจากนั้นดูและประเมินจากนั้นดูและประเมินใบรับรองจากนั้นดำเนินการต่อ

ป้อนคำอธิบายรูปภาพที่นี่

อย่างที่คุณเห็นในตอนนี้https://as.digid.nl/กำลังแสดงใบรับรองสี่ใบในห่วงโซ่แห่งความไว้วางใจ:

  • ชื่อใบรับรอง - ประเภท - ลายนิ้วมือ SHA1 - สถานะ
  • as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE พ.ศ. 36 5F EC 82 F3 - ที่ไม่ถูกต้องเนื่องจากชื่อโฮสต์ไม่ตรงกัน (ข้อผิดพลาดที่ไม่เป็นอันตราย - เครื่องมือประเมินว่าใบรับรองสำหรับคุณ mac และฉัน Mac ไม่ใช่ asdigid.nl)
  • DigiNotar PKIoverheid CA Overheid en Bedrijven - ระดับกลาง - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - ใช้ได้
  • Staat der Nederlanden Overheid CA - ระดับกลาง - 29 FC 35 D4 ซีดี 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - ใช้ได้
  • Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - ใช้ได้

ป้อนคำอธิบายรูปภาพที่นี่

ในคำถามของคุณคุณระบุว่าคุณได้ลบคีย์รูท - หากเป็นเช่นนั้นซาฟารีของคุณกำลังแคชค่าเก่าหรือเมื่อคุณดูไซต์นั้นมีใบรับรอง SSL ต่างจากที่ฉันเห็นในการทำคำตอบนี้ คุณจะต้องทำซ้ำขั้นตอนที่ฉันเพิ่งทำไปเพื่อดูว่าในกรณีใด

ในกรณีของฉันฉันต้องทำเครื่องหมายใบรับรองรูต CAของStaat der Nederlandenว่าไม่น่าเชื่อถือเพื่อให้ Safari เข้าโจมตีและแสดงข้อความนี้เมื่อคุณโหลดไซต์

ป้อนคำอธิบายรูปภาพที่นี่

ป้อนคำอธิบายรูปภาพที่นี่

ทั้งหมดตั้งแต่การกดเฉพาะเกี่ยวกับเพียงDigiNotar Root CAเป็นไม่ดีฉันจะยกเลิกการเปลี่ยนแปลงของฉันที่จะไม่ไว้วางใจStaat เดอร์ Nederlanden Root CA

ฉันจะทำเครื่องหมายDigiNotar Root CAว่าจะไม่เชื่อถือและรอดูว่า Apple ทำอะไร หากคุณมีความสนใจในการเรียงลำดับของสิ่งนี้จะตรวจสอบแอปเปิ้ลรักษาความปลอดภัยหน้า

bmike
แหล่งที่มา
2
แต่ใบรับรอง“ Staat der Nederlanden Root CA” ไม่น่าเชื่อถือ (เท่าที่ฉันรู้) ควรเพิกถอน / ลบใบรับรอง DigiNotar CA เท่านั้นและนั่นไม่ได้ผล
Konrad Rudolph
ฉันหลีกเลี่ยงแง่มุมทางสังคมทั้งหมดตั้งแต่คำถามก็คือทำไมโครเมี่ยมและซาฟารีจึงไม่ผิดพลาด บางทีฉันควรจะอยู่ที่ว่าในคำตอบของฉันได้ชัดเจนมากขึ้น ...
bmike
ดูการอัปเดตของฉันไป OP: I สามารถแสดงให้คุณเว็บไซต์ที่ไม่ขึ้นอยู่กับ CA ราก DigiNotar ว่า Chrome อย่างมีความสุขจะแสดงถึงแม้ว่าฉันได้ลบ CA หลักของพวกเขาจากพวงกุญแจของฉัน
Ian C.
Awesome @ Ian-C - ฉันกำลังมองหาชายฟางเพื่อทดสอบ เห็นได้ชัดว่าโครเมี่ยมไม่ได้ใช้งานพวงกุญแจระบบ แต่เป็นที่เก็บของแทน Safari อย่างถูกต้องตั้งค่าสถานะauth.pass.nlเมื่อDigiNotar Root CAไม่น่าเชื่อถือหรือถูกลบ ขอบคุณสำหรับลิงค์!
bmike
แปลก. มีบางอย่างผิดพลาดขึ้น ตั้งแต่การโพสต์ไซต์ที่อัปเดตทั้ง Chrome และ Safari บนระบบของฉันเริ่มทำเครื่องหมาย แต่ในขณะที่ฉันกำลังทำโพสต์นั้นไม่ได้ตั้งค่าสถานะของพวกเขา ดูเหมือนว่ามีความล่าช้าในการเผยแพร่ข้อมูล Keychain ใน Chrome และ Safari Chrome เวอร์ชันของฉันไม่เปลี่ยนแปลงในช่วงเวลานั้น นอกลู่นอกทาง.
Ian C.
2

ดูเหมือนว่านี่เป็นข้อบกพร่องร้ายแรงใน OS X

ผู้ใช้สามารถเพิกถอนใบรับรองโดยใช้ Keychain แต่หากพวกเขาบังเอิญไปเยี่ยมชมเว็บไซต์ที่ใช้ Extended Validation Certificate ที่ปลอดภัยยิ่งขึ้น Mac จะยอมรับใบรับรอง EV แม้ว่าจะออกโดยหน่วยงานผู้ออกใบรับรองที่ทำเครื่องหมายว่าไม่น่าเชื่อถือใน Keychain

ที่มา: http://www.computerworld.com

Lars Wiegman
แหล่งที่มา
1

เว็บไซต์ที่ไม่ได้ใช้ DigiNotar CA ใบรับรองราก ใบรับรองรูทในกรณีของ as.digid.nl มาจาก“ Staat der Nederlanden root CA” - ซึ่งปลอดภัย (สันนิษฐาน) จริงมีใบรับรอง DigiNotar ในห่วงโซ่ใบรับรองของเว็บไซต์ แต่นี่ไม่ใช่ใบรับรองรูท - มันเป็นเพียงลิงค์ในเชนและเป็นใบรับรองที่แตกต่างกัน

คอนราดรูดอล์ฟ
แหล่งที่มา
จริง แต่เนื่องจาก“ Staat der Nederlanden root CA” ออกโดย บริษัท เดียวกันนั่นคือ DigiNotar ฉันจึงตัดสินใจยกเลิกมันเช่นกัน
Lars Wiegman
0

เป็นไปได้ว่าใบรับรองที่คุณเห็นมีการลงชื่อโดย CA หลาย ๆ อัน (หรือใบรับรอง CA ระดับกลางมีการเซ็นชื่อโดยหลายเอนทิตี) คุณจะต้องระบุและลบ CA ที่ลงนามทั้งหมดที่เกี่ยวข้อง

ZZZ
แหล่งที่มา
การยกเลิกความไว้วางใจในใบรับรองหลักตัวเดียวทำงานได้สำหรับฉันใน Safari ในกรณีนี้ใบรับรองกลางจะไม่ถูกเก็บไว้ในพวงกุญแจของฉัน Staat der Nederlanden Root CAลายนิ้วมือ SHA1 ของ 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04
bmike
0

เท่าที่ฉันรู้บางเบราว์เซอร์ (เช่น Firefox) ไม่ได้ใช้ใบรับรองในพวงกุญแจของคุณ Chrome ใช้ Webkit ดังนั้นฉันคิดว่ามันใช้พวงกุญแจ

การรีสตาร์ท Safari ไม่จำเป็นสำหรับฉัน การทำเครื่องหมายใบรับรองรูทเป็น "ไม่น่าเชื่อถือ" และการโหลดหน้าใหม่นั้นเพียงพอแล้ว

ไม่ใช่ว่าคุณสามารถทำเครื่องหมายเฉพาะรูต (Staat der Nederlanden Root CA) ว่าไม่น่าเชื่อถือ ใบรับรองอื่น ๆ ไม่ได้อยู่ในพวงกุญแจของคุณ แต่จะถูกส่งจากโฮสต์ทุกครั้งที่คุณเริ่มเซสชัน SSL

คุณสามารถโพสต์ภาพหน้าจอของหน้าต่างรับรองเมื่อคุณโหลด as.digid.nl ได้หรือไม่? บางทีนั่นอาจทำให้เข้าใจถึงปัญหา ...

แฟรงค์บี
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.