Como desconfio ou removo as CAs raiz da lista negra do Safari móvel no meu iPhone ou iPad?

16

A CA raiz do DigiNotar foi comprometida e foi colocada na lista negra pelo Mozilla e Chrome. Eu já não confio em sua CA raiz no Keychain nos meus dispositivos OS X, mas como posso fazer algo semelhante no meu iPhone e iPad?

Edit: Eu gostaria de fazer isso sem ter que fazer o jailbreak de qualquer dispositivo.

Edit: A atualização do i0S 5 da Apple remove a CA raiz do DigiNotar do seu iDevice e também livra a confiança dos certificados assinados pelo MD5. Veja este artigo da Ars Technica para obter detalhes.

Ian C.
fonte
3
Excelente pergunta. Uma coisa que não funcionou foi usar o Utilitário de configuração do iPhone (em Credenciais) para fornecer ao iPhone o certificado DigiNotar definido como "Nunca confie". Eu esperava que isso substituísse o certificado interno do IOS, mas ainda permite que você navegue alegremente até o seu destino. No pior caso, teremos que esperar por uma atualização do IOS (para que você não queira fazer o jailbreak).
Ingmar Hupp
Quais sites ainda estão usando um certificado assinado pelo certificado comprometido? Como você sabe que está realmente navegando para o destino, e não que os sites que você visitou mudaram os certificados que eles usam para um com uma raiz confiável?
bmike
@bmike O ponto crucial do problema é que, no iOS Safari, parece impossível verificar e ver quais certificados um site está usando e evitar os que estão comprometidos. A lista negra da Mozilla é muito maior do que a lista comprometida admitida pelo DigiNotar, o que significa que definitivamente existem alguns documentos que o DigiNotar deixou no lugar que considera seguros, mas que o Mozilla e outros não concordam.
Ian C.
11
Eu usei o auth.pass.nl para testar, que ainda possui um certificado SSL assinado pela CA comprometida. Provavelmente há muito mais para encontrar (especialmente no espaço para nome .nl). Faça o check-in no navegador da área de trabalho primeiro se o certificado for afetado.
Ingmar Hupp

Respostas:

5

Você não (não sem que a cadeia viole o iOS) Mais infelizmente, saímos da situação no iOS 4 -> 5 -> 6 -> iOS 7 e ainda não podemos escolher quais certificados são confiáveis ​​pelo sistema operacional.

Isso é um bug no utilitário de configuração do iPhone ou um recurso não simplificado. Se você se importa, procure a apple para pedir isso.

http://www.apple.com/feedback ou http://bugreporter.apple.com

A menos que você se sinta à vontade para escrever um bug tecnicamente correto, o link de feedback é um caminho melhor. Ligar para a AppleCare ou pedir isso na barra genial também pode valer a pena.

bmike
fonte
Existe uma maneira de remover um certificado raiz, se você não tiver jailbroken iOS?
rakslice