¿Por qué Safari y Chrome no lanzan advertencias después de eliminar los certificates raíz?

Los certificates emitidos por DigiNotar han sido puestos en la list negra hoy por Mozilla. Ver sitios web con certificates emitidos por DigiNotar con una versión nocturna de Firefox generará advertencias.

En lugar de esperar una actualización, para que los certificates sean revocados en mi propio sistema, eliminé los certificates raíz de mi Llavero, pero Chrome aún valida los certificates del website y Safari no lanza advertencias.

  • Applescript para recuperar la count y la contraseña mediante el uso de scripts de llavero
  • v4.services.acrobat.com y denying keychain
  • Ver Certificado TLS en Safari 8 / Yosemite
  • ¿Cómo puedo acceder al llavero remotamente desde la línea de command?
  • Montar una unidad de samba, con contraseña de llavero
  • ¿Cómo almacena iCloud Keychain la información de punto de acceso wifi no segura?
  • ¿Me estoy perdiendo de algo?

    Certificados eliminados:

    • DigiNotar Root CA
    • Staat der Nederlanden Root CA
    • Staat der Nederlanden Root CA – G2

    Sitio web probado: https://as.digid.nl/


    Aquí hay un sitio de testing alternativo que muestra el problema en Chrome 13.0.782.218: http://auth.pass.nl

    He eliminado la CA raíz de DigiNotar de mi Llavero. Chrome se ha reiniciado. Pero Chrome todavía dice que este sitio es válido y enumera la CA raíz de DigiNotar como autoridad en SSL para el sitio.

    DigiNotar Root CA de confianza

  • Cómo arreglar curl: (60) Certificado SSL: Cadena de certificate inválida cuando se usa sudo
  • No se pudo encontrar un llavero para almacenar "<Red>"
  • ¿Las copys de security de iCloud de los dispositivos iOS restaurarán el llavero iOS?
  • Cuando bash instalar mi certificate en llavero, el error dice: No se puede importar - Código de error 25294
  • ¿Cómo evitar que las passwords guardadas de Safari se vean con la contraseña de Mac?
  • ¿Puedo eliminar de forma segura un file ".keychain" de Llaveros cuando hay un file ".keychain-db" correspondiente?
  • 5 Solutions collect form web for “¿Por qué Safari y Chrome no lanzan advertencias después de eliminar los certificates raíz?”

    Cada sitio que verifico que he configurado manualmente como no confiable muestra una advertencia. Quizás las cosas cambian en los serveres tan rápidamente, diferentes personas que hacen las mismas acciones ven diferentes resultados.


    Deje de lado el concepto de lists negras en general y la revocación de certificates como (CRL) o la verificación en línea como OCSP y simplemente select el mecanismo de los certificates SSL en el browser. Apartaré Chrome / Firefox / otros browseres y solo me centraré en Safari y Mac Keychain, ya que eso es un problema suficiente para esta publicación.

    La respuesta corta es que el sitio que usted enumera no depende del certificate que se usó de una manera que haya causado que la prensa ejecute todas las historias de la list negra.

    Se usó para firmar certificates que coincidían con cualquier cosa que terminara en google.com y fueron vistos en uso en sitios que ciertamente no eran de Google. Este es un equivalente tecnológico a alguien construyendo túneles en una bóveda de banco. No hay planes de hacer un túnel, sino un túnel real que funciona alnetworkingedor de una barrera que todos esperaban que fuera sólida.


    Ahora veamos cómo saber por qué Safari no marcó el sitio que catalogó como "malo".

    No he eliminado ningún certificate del Mac en el que estoy y acabo de activar el Asistente de llavero para usar el Asistente de certificate (en el menu Acceso a llavero -> Asistente de certificación -> Abrir …

    En la pequeña window de CA, select continuar, luego Ver y Evaluar, luego Ver y evaluar certificates, luego continúe.

    enter image description here

    Como puede ver ahora, https://as.digid.nl/ está entregando cuatro certificates en la cadena de confianza:

    • nombre de certificate – tipo – huella digital SHA1 – estado
    • as.digid.nl – SSL – 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 – no válido debido a la falta de coincidencia del nombre de host (error inofensivo – la herramienta evalúa ese certificate para su mac y mi mac no es como.digid.nl)
    • DigiNotar PKIoverheid CA Overheid en Bedrijven – intermedio – 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 – válido
    • Staat der Nederlanden Overheid CA – intermedio – 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C – válido
    • Staat der Nederlanden Root CA – raíz – 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 – válido

    enter image description here

    En su pregunta, indicó que eliminó la key raíz; de ser así, su safari está guardando en caching los valores anteriores o, cuando lo vio, ese sitio tenía un certificate SSL diferente al que vi al hacer esta respuesta. Tendrás que reproducir los pasos que acabo de seguir para ver cuál fue el caso.

    En mi caso, solo tuve que marcar el certificate raíz de la raíz Roat de Staat der Nederlanden como no confiable para que Safari objetara y mostrara este post cuando cargue el sitio.

    enter image description here

    enter image description here

    Como toda la prensa es específica acerca de que solo la CA raíz de DigiNotar es mala, voy a deshacer mi cambio para no confiar en la CA raíz de Staat der Nederlanden .

    Voy a marcar DigiNotar Root CA como nunca de confianza y esperar y ver qué hace Apple. Si está interesado en este tipo de cosas, controle la página de Apple Security .

    Parece que esto es un error grave en OS X.

    Los usuarios pueden revocar un certificate utilizando Keychain, pero si visitan un sitio que usa certificates de validation extendida más seguros, la Mac aceptará el certificate EV incluso si ha sido emitido por una autoridad de certificación marcada como no confiable en Keychain.

    Fuente: http://www.computerworld.com

    El website no utiliza el certificate de raíz de DigiNotar CA. El certificate raíz en el caso de as.digid.nl proviene de la "raíz CA de Staat der Nederlanden", que es seguro (presumiblemente). Es cierto que hay un certificate DigiNotar en la cadena de certificates del website, pero este no es el certificate raíz, es simplemente un enlace en la cadena y es un certificate diferente .

    Es posible que los certificates que está viendo estén firmados por varias CA (o certificates de CA intermedios están firmados por varias entidades). Debería identificar y eliminar todas las CA firmantes implicadas.

    Por lo que sé, algunos browseres (como Firefox) no están usando los certificates en tu llavero. Chrome está basado en Webkit, así que supongo que usa el llavero.

    Reiniciar Safari no era necesario para mí; marcar el certificate raíz como "no confiable" y volver a cargar la página era suficiente.

    No es que solo pueda marcar la raíz (Staat der Nederlanden Root CA) como no confiable; los otros certs no están en su llavero, sino que se transmiten desde el host cada vez que inicia una session SSL.

    ¿Podría publicar una captura de pantalla de la window certifcate cuando carga as.digid.nl? Tal vez eso puede arrojar algo de luz sobre el tema …

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).