Por que o Safari e o Chrome não lançam avisos após remover os certificados raiz

Os certificados emitidos pelo DigiNotar foram incluídos hoje na lista negra da Mozilla. Visualizar sites com certificados emitidos pelo DigiNotar com uma compilação noturna do Firefox emitirá avisos.

Em vez de aguardar uma atualização, para que os certificados sejam revogados no meu próprio sistema, removi os certificados raiz do meu Keychain, mas o Chrome ainda valida os certificados do site e o Safari não está emitindo nenhum aviso.

Estou esquecendo de algo?

Certificados removidos:

• CA raiz do DigiNotar
• Staat der Nederlanden Root CA
• Staat der Nederlanden Root CA - G2

Site testado: https://as.digid.nl/

Aqui está um site de teste alternativo que mostra o problema no Chrome 13.0.782.218: http://auth.pass.nl

Excluí a CA raiz do DigiNotar do meu Keychain. O Chrome foi reiniciado. Mas o Chrome ainda diz que este site é válido e lista a CA raiz do DigiNotar como a autoridade no SSL do site.

Todos os sites que verifico que defini manualmente como não confiáveis ​​mostram um aviso. Talvez as coisas estejam mudando nos servidores tão rapidamente que pessoas diferentes que executam as mesmas ações estão obtendo resultados diferentes.

Vamos deixar de lado o conceito de lista negra em geral e revogação de certificados como (CRL) ou verificação online como OCSP e apenas separar o mecanismo dos certificados SSL no navegador. Vou deixar de lado o Chrome / Firefox / outros navegadores e focar apenas no Safari e no Mac Keychain, já que isso é um problema suficiente para este post.

A resposta curta é que o site que você lista não depende do certificado usado de uma maneira que fez com que a imprensa publicasse todas as histórias da lista negra.

Foi usado para assinar certificados que correspondiam a qualquer coisa que terminasse em google.com e foram vistos em uso em sites que certamente não eram o google. É o equivalente tecnológico a alguém que constrói túneis em um cofre de banco. Não planeja escavar um túnel - mas um túnel de trabalho real em torno de uma barreira que todos esperavam ser sólidos.

Agora, como saber por que o Safari não sinalizou o site listado como "ruim".

Não apaguei nenhum certificado do mac em que estou e apenas iniciei o Keychain Assistant para usar o Certificate Assistant (no menu Acesso ao Keychain -> Assistente de Certificação -> Abrir ...

Na janela pequena da CA, selecione continuar e, em seguida, Exibir e avaliar, Exibir e avaliar certificados e continuar.

Como você pode ver agora, https://as.digid.nl/ está servindo quatro certificados na cadeia de confiança:

• nome do certificado - tipo - impressão digital SHA1 - status
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - inválido devido à incompatibilidade de nome de host (erro inofensivo - a ferramenta avalia esse certificado para seu mac e meu mac não é as.digid.nl)
• DigiNotar PKIoverheid CA Overheid e Bedrijven - intermediário - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - válido
• Staat der Nederlanden Overheid CA - intermediário - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - válido
• Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - válido

Na sua pergunta, você declarou que excluiu a chave raiz - nesse caso, seu safari está armazenando em cache os valores antigos ou, quando você olhou, o site tinha um certificado SSL diferente do que eu vi ao fazer esta resposta. Você terá que reproduzir as etapas que eu apenas segui para ver qual era o caso.

No meu caso, só tive que marcar o certificado raiz da CA raiz Staat der Nederlanden como não confiável para fazer o Safari recusar e mostrar essa mensagem quando você carrega o site.

Como toda a imprensa é específica sobre apenas a CA raiz do DigiNotar como ruim, vou desfazer minha alteração para não confiar na CA raiz da Staat der Nederlanden .

Vou marcar a CA raiz do DigiNotar como nunca confiável, esperar e ver o que a Apple faz. Se você estiver interessado nesse tipo de coisa, monitore a página de segurança da Apple .

Parece que este é um bug sério no OS X.

Os usuários podem revogar um certificado usando o Keychain, mas, se visitarem um site que usa os certificados de validação estendida mais seguros, o Mac aceitará o certificado EV, mesmo que tenha sido emitido por uma autoridade de certificação marcada como não confiável no Keychain.

Fonte: http://www.computerworld.com

O site não usa o certificado Raiz da CA DigiNotar . O certificado raiz no caso de as.digid.nl é da "CA raiz da Staat der Nederlanden" - que é seguro (presumivelmente). É verdade que existe um certificado DigiNotar na cadeia de certificados do site, mas este não é o certificado raiz - é apenas um link na cadeia e é um certificado diferente .

É possível que os certificados que você está vendo sejam assinados por várias autoridades de certificação (ou certificados intermediários de autoridade de certificação são assinados por várias entidades). Você precisaria identificar e remover todas as autoridades de certificação envolvidas.

Até onde eu sei, alguns navegadores (como o Firefox) não estão usando os certificados no seu chaveiro. O Chrome é baseado no Webkit, portanto, presumo que ele use o chaveiro.

Reiniciar o Safari não era necessário para mim; marcar o certificado raiz como "não confiável" e recarregar a página foi suficiente.

Não é possível apenas marcar a raiz (CA Staat der Nederlanden Root) como não confiável; os outros certificados não estão no seu chaveiro, mas são transmitidos do host toda vez que você inicia uma sessão SSL.

Você poderia postar uma captura de tela da janela certifcate ao carregar as.digid.nl? Talvez isso possa esclarecer a questão ...