为什么Safari和Chrome在删除根证书后没有引发警告

8

DigiNotar颁发的证书今天已被Mozilla列入黑名单。使用DigiNotar颁发的证书和每晚生成的Firefox浏览网站将发出警告。

我没有等待更新，而是要在自己的系统上吊销证书，我从钥匙串中删除了根证书，但是Chrome仍然可以验证网站证书，并且Safari不会发出任何警告。

我想念什么吗？

证书已删除：

DigiNotar根CA
国家根目录
Stader der Nederlanden根CA-G2

经过测试的网站：https：//as.digid.nl/

这是一个替代测试站点，它显示了Chrome 13.0.782.218中的问题：http ://auth.pass.nl

我已经从钥匙串中删除了DigiNotar根CA。Chrome已重新启动。但是Chrome仍然说此站点有效，并将DigiNotar根CA列为该站点SSL上的授权。

DigiNotar根CA受信任

keychain ssl

— 拉斯·威格曼
source

同样在这里。甚至歌剧我猜流氓证书是如此罕见，所有主要的浏览器都具有越野车撤销处理程序。

— hsmiths 2011年

这里同样的问题。我从Mozilla找到了这篇文章，其中详细介绍了手动删除操作：support.mozilla.com/zh-CN/kb/deleting-diginotar-ca-cert我想从钥匙串中删除基本上是同一回事。确实很奇怪。

1

当我将Staat der Nederlanden根CA设置为不受信任时，我从Chrome得到警告，该网站未使用受信任的证书。我已经删除了DigiNotar根CA。

— 伊恩·C

将证书设置为“永不信任”时，我从Safari和Chrome都获得了预期的结果。他们都发出警告。

— 拉尔斯·威格曼

4

我检查是否已手动将其设置为“不受信任”的每个站点都会显示警告。也许服务器上的一切变化如此之快，执行相同操作的不同人员看到的结果也不同。

让我们抛开一般列入黑名单的概念以及诸如CRL的证书吊销或诸如OCSP的在线验证的概念，仅在浏览器中分离SSL证书的机制。我将搁置Chrome / Firefox /其他浏览器，而只专注于Safari和Mac钥匙串，因为这篇文章很麻烦。

简短的答案是，您列出的网站不依赖于导致媒体运行所有黑名单故事的方式使用的一个证书。

它被用来签署与以google.com结尾的任何内容匹配的证书，并且在肯定不是google的网站上发现了它们的使用。这在技术上等同于有人在银行金库中构建隧道。并非计划开挖隧道-而是围绕每个人都希望坚固的障碍物的实际工作隧道。

现在介绍如何知道Safari 为什么不将您列出的站点标记为“不良”。

我尚未从Mac上删除任何证书，只是启动了Keychain Assistant以使用证书助手（在Keychain Access菜单-> Certification Assistant- > 打开下...

在小型CA窗口中，选择继续，然后选择查看和评估，然后选择查看和评估证书，然后继续。

在此处输入图片说明

如您现在所见，https：//as.digid.nl/正在提供信任链中的四个证书：

证书名称-类型-SHA1指纹-状态
as.digid.nl-SSL-2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3-由于主机名不匹配而无效（无害错误-该工具评估适用于您的 mac和我的mac的证书不是as.digid.nl）
DigiNotar PKIoverheid CA Overriid en Bedrijven-中级-40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4-有效
Staat der Nederlanden Overheid CA-中级-29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C-有效
Stader der Nederlanden根CA-根-10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04-有效

在此处输入图片说明

在您的问题中，您说过您删除了根密钥-如果是这样，则说明您的野生动物园正在缓存旧值，或者当您查看时，该站点的SSL证书与我看到的答案不同。您必须重现我刚才采取的步骤才能看到实际情况。

就我而言，我只需要将Staat der Nederlanden根CA根证书标记为不受信任，即可使Safari避开并在加载网站时显示此消息。

在此处输入图片说明

由于所有媒体都只将DigiNotar Root CA视为坏问题，因此，我将撤消我的更改，以不信任Stader der Nederlanden RootCA。

我将把DigiNotar Root CA标记为永远不会被信任，并拭目以待Apple会做什么。如果您对这种事情感兴趣，请监视“ Apple安全性”页面。

— bmike
source

2

但是，据我所知，“ Staat der Nederlanden根CA”证书并非不受信任。仅DigiNotar CA证书应该被吊销/删除，并且不起作用。

— Konrad Rudolph

我回避了整个社会方面，因为问题仅仅是为什么chrome和safari不会出错。也许我应该在回答中更清楚地解决这个问题……

— bmike

请参阅我对OP的更新：我可以向您展示一个确实依赖于DigiNotar根CA 的网站，即使我已经从钥匙串中删除了它们的根CA，Chrome也会很高兴地显示该根CA。

— 伊恩·C（

很棒@ Ian-C-我一直在寻找一个要测试的稻草人。很明显，chrome不使用系统钥匙串，而是使用自己的商店。当不信任或删除DigiNotar根CA时，Safari会正确标记auth.pass.nl。谢谢你的链接！

— bmike

奇怪的。有点麻烦了。自从发布更新后的网站以来，我系统上的Chrome和Safari都已开始对其进行标记。但是，当我发布该帖子时，他们俩都没有对其进行标记。看来，将钥匙串信息传播到Chrome和Safari时有些延迟吗？在那段时间内，我的Chrome版本没有更改。怪异的

— 伊恩·C

2

看来这是OS X中的一个严重错误。

用户可以使用钥匙串吊销证书，但是，如果他们碰巧访问了使用更安全的扩展验证证书的站点，则Mac将接受EV证书，即使该证书是由在钥匙串中标记为不可信的证书颁发机构颁发的。

资料来源：http : //www.computerworld.com

— 拉斯·威格曼
source

1

该网站未使用DigiNotar CA Root证书。对于as.digid.nl，其根证书来自“ Staat der Nederlanden根CA”，这是安全的（大概是）。的确，网站的证书链中有DigiNotar证书，但这不是根证书-它只是链中的链接，并且是不同的证书。

— 康拉德·鲁道夫
source

没错，但因为“Staat DER Nederlanden根CA”是由同一家公司，DigiNotar颁发，我决定撤销它。

— 拉斯Wiegman

0

您看到的证书可能是由多个CA签名的（或中间CA证书是由多个实体签名的）。您将必须识别并删除所有涉及的签名CA。

— zz
source

撤消对一个根证书的信任在Safari中为我工作。在这种情况下，中间证书不会存储在我的钥匙串中。Stader der Nederlanden根CA SHA1指纹10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04

— bmike

0

据我所知，某些浏览器（例如Firefox）未在您的钥匙串中使用证书。Chrome基于Webkit，因此我认为它确实使用了钥匙串。

对我而言，无需重新启动Safari。将根证书标记为“不受信任”并重新加载页面就足够了。

并不是说您只能将根（Staat der Nederlanden Root CA）标记为不受信任；其他证书不在您的钥匙串中，而是在您每次启动SSL会话时从主机传输。

加载as.digid.nl时，您可以发布证书窗口的屏幕截图吗？也许可以阐明这个问题。

— 弗兰克·B
source