DigiNotar에서 발행 한 인증서는 오늘 Mozilla에서 블랙리스트에 올렸습니다. 야간에 Firefox를 빌드 한 상태에서 DigiNotar에서 발행 한 인증서가있는 웹 사이트를 보면 경고가 표시됩니다.
업데이트를 기다리지 않고 자체 시스템에서 인증서를 해지하기 위해 키 체인에서 루트 인증서를 제거했지만 Chrome은 여전히 웹 사이트 인증서의 유효성을 검사하고 Safari는 경고를 표시하지 않습니다.
내가 뭔가를 놓치고 있습니까?
인증서 제거 :
- DigiNotar 루트 CA
- 스타트 데르 네 덜란 덴 루트 CA
- 스타트 데르 네 덜란 덴 루트 CA-G2
테스트 된 웹 사이트 : https://as.digid.nl/
다음은 Chrome 13.0.782.218의 문제를 보여주는 대체 테스트 사이트입니다. http://auth.pass.nl
내 키 체인에서 DigiNotar 루트 CA를 삭제했습니다. Chrome이 다시 시작되었습니다. 그러나 Chrome은 여전히이 사이트가 유효하며 DigiNotar 루트 CA를 사이트의 SSL 권한으로 표시합니다.
답변
신뢰할 수없는 것으로 수동 설정 한 모든 사이트에는 경고가 표시됩니다. 서버의 상황이 너무 빠르게 변화하고있을 수 있으며 동일한 작업을 수행하는 다른 사람들이 다른 결과를보고 있습니다.
일반적으로 블랙리스트의 개념 과 (CRL)과 같은 인증서 해지 또는 OCSP 와 같은 온라인 검증 개념을 제외 하고 브라우저에서 SSL 인증서의 메커니즘을 선택하십시오. Chrome / Firefox / 다른 브라우저를 제외하고이 게시물에 대한 문제로 Safari와 Mac Keychain에 중점을 둡니다.
짧은 대답은 귀하가 나열한 사이트가 언론이 모든 블랙리스트 스토리를 실행시키는 방식으로 사용 된 하나의 인증서에 의존하지 않는 것입니다.
google.com으로 끝나는 것과 일치하는 인증서에 서명하는 데 사용되었으며 Google이 아닌 사이트에서 사용 중에 발견되었습니다. 이것은 은행 금고에 터널을 건설하는 사람과 동등한 기술입니다. 터널을 만들 계획은 아니지만 모든 사람이 견고 할 것으로 예상되는 장벽 주변에서 작동하는 실제 터널.
이제 Safari가 왜 “나쁜”사이트를 표시하지 않았 는지 알 수 있습니다.
내가 사용하는 Mac에서 인증서를 삭제하지 않았으며 Keychain Assistant 메뉴를 열어 Keychain Access 메뉴-> Certification Assistant- > Open …
작은 CA 창에서 계속,보기 및 평가, 인증서보기 및 평가를 차례로 선택한 다음 계속하십시오.
보시다시피 https://as.digid.nl/ 는 신뢰 체인에 4 개의 인증서를 제공합니다.
- 인증서 이름-유형-SHA1 지문-상태
- as.digid.nl – SSL – 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 – 호스트 이름 불일치로 인한 잘못된 (무해 오류 – 공구 평가하는 인증서에 대한 네 맥 내 MAC as.digid.nl이 아님)
- DigiNotar PKIoverheid CA Overheid en Bedrijven-중간-40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4-유효
- Staat der Nederlanden Overheid CA-중급-29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C-유효
- Staat der Nederlanden 루트 CA-루트-10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04-유효
귀하의 질문에 당신은 루트 키를 삭제했다고 언급했습니다. 그렇다면 사파리는 이전 값을 캐시하거나 보았을 때 해당 사이트 에이 답변을 보았던 것과 다른 SSL 인증서가 있습니다. 내가 어느 단계에 해당하는지 확인하기 위해 방금 수행 한 단계를 재현해야합니다.
필자의 경우, Staat der Nederlanden Root CA 루트 인증서를 신뢰할 수없는 것으로 표시하여 Safari를 설치하고 사이트를로드 할 때이 메시지를 표시했습니다.
모든 언론은 DigiNotar Root CA 에만 국한된 것이기 때문에 Staat der Nederlanden Root CA를 신뢰하지 않기 위해 변경 사항을 취소 합니다.
DigiNotar Root CA 를 절대 신뢰할 수없는 것으로 표시 하고 기다렸다가 Apple이하는 일을 살펴 보겠습니다 . 이런 종류의 것에 관심이 있다면 Apple 보안 페이지를 모니터 하십시오.
답변
이것은 OS X에서 심각한 버그 인 것 같습니다.
사용자는 키 체인을 사용하여 인증서를 해지 할 수 있지만보다 안전한 확장 유효성 검사 인증서를 사용하는 사이트를 방문하는 경우 Mac은 신뢰할 수없는 것으로 표시된 인증 기관에서 발급 한 경우에도 EV 인증서를 수락합니다.
답변
이 웹 사이트는 DigiNotar CA Root 인증서를 사용하지 않습니다 . as.digid.nl의 경우 루트 인증서는 “아마도 안전한 Staat der Nederlanden 루트 CA”의 인증서입니다. 사실, 웹 사이트의 인증서 체인에 DigiNotar 인증서가 있지만 이는 루트 인증서 가 아닙니다 . 이는 체인의 링크 일 뿐이며 다른 인증서입니다.
답변
보고있는 인증서에 여러 CA가 서명했거나 중간 CA 인증서가 여러 엔터티에 의해 서명되었을 수 있습니다. 관련된 모든 서명 CA를 식별하고 제거해야합니다.
답변
내가 아는 한 Firefox와 같은 일부 브라우저는 키 체인의 인증서를 사용하지 않습니다. Chrome은 Webkit을 기반으로하므로 키 체인을 사용한다고 가정합니다.
Safari를 다시 시작하지 않아도됩니다. 루트 인증서를 “신뢰할 수없는”것으로 표시하고 페이지를 다시로드하는 것으로 충분합니다.
루트 (Staat der Nederlanden Root CA) 만 신뢰할 수없는 것으로 표시 할 수는 없습니다. 다른 인증서는 키 체인에 없지만 SSL 세션을 시작할 때마다 호스트에서 전송됩니다.
as.digid.nl을로드 할 때 인증서 창의 스크린 샷을 게시 할 수 있습니까? 어쩌면 그 문제에 대해 밝힐 수 있습니다 …