Mengapa Safari dan Chrome tidak memberikan peringatan setelah menghapus sertifikat root

Sertifikat yang dikeluarkan oleh DigiNotar telah masuk daftar hitam hari ini oleh Mozilla. Melihat situs web dengan sertifikat yang dikeluarkan oleh DigiNotar dengan versi Firefox yang dibuat setiap malam akan memberikan peringatan.

Alih-alih menunggu pembaruan, agar sertifikat dicabut di sistem saya sendiri, saya menghapus sertifikat root dari Gantungan Kunci saya tetapi Chrome masih memvalidasi sertifikat situs web dan Safari tidak memberikan peringatan apa pun.

Apakah saya melewatkan sesuatu?

Sertifikat dihapus:

• DigiNotar Root CA
• Staat der Nederlanden Root CA
• Staat der Nederlanden Root CA - G2

Situs web diuji: https://as.digid.nl/

Berikut adalah situs uji alternatif yang menunjukkan masalah di Chrome 13.0.782.218: http://auth.pass.nl

Saya telah menghapus CA akar DigiNotar dari Keychain saya. Chrome telah dimulai ulang. Tetapi Chrome masih mengatakan situs ini valid dan mencantumkan CA akar DigiNotar sebagai otoritas pada SSL untuk situs tersebut.

Setiap situs yang saya periksa telah saya setel secara manual sebagai tidak tepercaya menampilkan peringatan. Mungkin banyak hal berubah di server dengan sangat cepat, orang yang berbeda melakukan tindakan yang sama melihat hasil yang berbeda.

Mari sisihkan konsep daftar hitam secara umum dan pencabutan sertifikat suka (CRL) atau verifikasi online suka OCSP dan cukup pisahkan mekanisme sertifikat SSL di browser. Saya akan menyisihkan Chrome / Firefox / browser lain dan hanya fokus pada Safari dan Keychain Mac karena itu cukup masalah untuk posting ini.

Jawaban singkatnya adalah situs yang Anda daftarkan tidak bergantung pada satu sertifikat yang digunakan dengan cara yang menyebabkan pers menjalankan semua cerita daftar hitam.

Itu digunakan untuk menandatangani sertifikat yang cocok dengan apa pun yang berakhir di google.com dan mereka terlihat digunakan di situs yang jelas bukan google. Ini adalah teknologi yang setara dengan seseorang yang membuat terowongan menjadi brankas bank. Bukan rencana untuk terowongan - tetapi terowongan yang berfungsi di sekitar penghalang yang diharapkan semua orang solid.

Sekarang bagaimana cara mengetahuinya Mengapa Safari tidak menandai situs yang Anda cantumkan "buruk".

Saya belum menghapus sertifikat apa pun dari mac yang saya pakai dan baru saja mengaktifkan Asisten Keychain untuk menggunakan Asisten Sertifikat (di bawah Akses Gantungan Kunci menu - & gt; Asisten Sertifikasi - & gt; Buka...

Di jendela CA kecil, pilih lanjutkan, lalu Lihat dan Evaluasi, lalu Lihat dan evaluasi sertifikat, kemudian lanjutkan.

Seperti yang dapat Anda lihat sekarang, https://as.digid.nl/ melayani hingga empat sertifikat dalam rantai kepercayaan:

• nama sertifikat - tipe - SHA1 sidik jari - status
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - tidak valid karena ketidakcocokan nama host (kesalahan tidak berbahaya - alat mengevaluasi sertifikat itu untuk anda mac dan mac saya tidak as.digid.nl)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - menengah - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valid
• Staat der Nederlanden Overheid CA - menengah - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valid
• Staat der Nederlanden Root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - valid

Dalam pertanyaan Anda, Anda menyatakan telah menghapus kunci root - jika demikian, safari Anda menyimpan cache nilai lama atau ketika Anda melihat, situs itu memiliki sertifikat SSL yang berbeda dari yang saya lihat ketika membuat jawaban ini. Anda harus mereproduksi langkah-langkah yang baru saja saya ambil untuk melihat yang terjadi.

Dalam hal ini, Saya hanya harus menandai Staat der Nederlanden Root CA sertifikat root sebagai tidak tepercaya untuk membuat Safari menolak dan menunjukkan pesan ini saat Anda memuat situs.

Karena semua pers hanya spesifik tentang DigiNotar Root CA sebagai buruk, saya akan membatalkan perubahan saya untuk tidak mempercayai Staat der Nederlanden Root CA .

Saya akan menandai DigiNotar Root CA karena tidak pernah dipercaya dan menunggu dan melihat apa yang dilakukan Apple. Jika Anda tertarik dengan hal semacam ini, lakukan monitor Keamanan Apple halaman.

Sepertinya ini adalah bug serius di OS X.

Pengguna dapat mencabut sertifikat menggunakan Keychain, tetapi jika mereka mengunjungi situs yang menggunakan Sertifikat Validasi Diperpanjang yang lebih aman, Mac akan menerima sertifikat EV meskipun dikeluarkan oleh otoritas sertifikat yang ditandai tidak dipercaya dalam Keychain.

Sumber: http://www.computerworld.com

Situs web ini tidak menggunakan DigiNotar CA Sertifikat root . Sertifikat root dalam kasus as.digid.nl berasal dari “Staat der Nederlanden root CA” - yang aman (mungkin). Benar, ada sertifikat DigiNotar di rantai sertifikat situs web tetapi ini tidak sertifikat root - itu hanyalah tautan dalam rantai, dan merupakan a berbeda sertifikat.

Mungkin saja sertifikat yang Anda lihat ditandatangani oleh banyak CA (atau sertifikat CA menengah ditandatangani oleh banyak entitas). Anda harus mengidentifikasi dan menghapus semua CA penandatangan yang terlibat.

Sejauh yang saya tahu, beberapa browser (seperti Firefox) tidak menggunakan sertifikat di gantungan kunci Anda. Chrome didasarkan pada Webkit, jadi saya menganggap itu menggunakan gantungan kunci.

Memulai ulang Safari tidak perlu bagi saya; menandai sertifikat root sebagai "tidak dipercaya" dan memuat ulang laman sudah cukup.

Bukan berarti Anda hanya dapat menandai root (Staat der Nederlanden Root CA) sebagai tidak dipercaya; sertifikat lainnya tidak ada dalam gantungan kunci Anda, melainkan dikirim dari host setiap kali Anda memulai sesi SSL.

Bisakah Anda memposting tangkapan layar dari jendela sertifikat ketika Anda memuat as.digid.nl? Mungkin itu bisa menjelaskan masalah ini ...