it-swarm.com.de

Warum wird Symantec / Verisign CA als ungültige Berechtigung angezeigt?

  1. Beim typischen Surfen auf www.BankOfAmerica.com ist ein ERR_CERT_AUTHORITY_INVALID-Fehler aufgetreten. Dies geschah mit einer aktuellen Produktionsversion von Google Chrome für Mac).
  2. Ich habe es mit Safari versucht und das gleiche Ergebnis erzielt.
  3. Das Zertifikat ist bis 2016 gültig, es scheint also kein Ablaufproblem zu sein.
  4. Es scheint, dass die Autorität Symantec Class 3 EV SSL CA - G3 als ungültig gilt. Der Versuch, sowohl zu Twitter.com als auch zu https://my.symantec.com zu navigieren, zeigt dieselbe Warnung an. HTTPS-Verbindungen zu anderen Websites (mit GeoTrust, Google und anderen Zertifizierungsstellen) funktionieren einwandfrei.
  5. OTOH, das ein SSL-Prüftool (auf sslshopper.com) ausführt, zeigt, dass alles in Ordnung ist.

Können Sie das obige Verhalten reproduzieren? Erhalten Sie SSL-Warnungen in Ihren Browsern auf Websites wie bankofamerica.com und Twitter?

Können Sie erklären, was passiert?

Beachten Sie, dass ich kein Entwickler, sondern ein Endbenutzer bin.

Update: - Mac OS X-Browser erhalten die vertrauenswürdigen Stammzertifizierungsstellen vom Betriebssystem. Dies wurde direkt nach der Installation eines Sicherheitsupdates Apple) gestartet. Um das Verhalten zu bestätigen, ist wahrscheinlich OS X 10.8.5 mit erforderlich neueste Sicherheitspatches.

  • Das Misstrauen beginnt mit der Stammzertifizierungsstelle "VeriSign Class 3 Public Primary Certification Authority - G5". Ich kann sehen, dass eine Zertifizierungsstelle mit genau diesem Namen im Betriebssystem (Macs "Schlüsselbund" -Datenbank) als gültiges und vertrauenswürdiges Zertifikat angezeigt wird, aber ihre Seriennummer (und daher die SHA-1- und MD5-Fingerabdrücke) völlig anders sind als die der Browser .

  • Ich frage mich daher, ob Apples neuester Sicherheitspatch einen guten Teil des Webs kaputt gemacht hat. Ironischerweise hat es auch Apples OS Software Update gebrochen, weil sie sich auch auf VeriSign verlassen. Ich werde auch in den Apple Foren) herumschnüffeln.

  • Es ist erwähnenswert, dass Chrome sagt sowohl "das Zertifikat ist nicht vertrauenswürdig" als auch "Ihre Verbindung ist mit veralteter Kryptographie verschlüsselt".

  • Dies war nicht das, was ich am Sonntagmorgen vorhatte ... aber AFAIK ist für mich als Benutzer der einfachste Weg, SSL/TLS zu brechen, zu sagen: "Äh, ich füge nur diese Zertifizierungsstelle hinzu." Wenn es um meine Bank und ein Drittel des Internets geht, gehe ich vorsichtig vor.

30
Drew

Gelöst. Das Problem wurde tatsächlich durch die Installation von Apple Mavericks/ML-Sicherheitsupdate 2015-004) ausgelöst. Wie in this Apple Release Note , erwähnt Es enthielt Aktualisierungen der Zertifikatvertrauensrichtlinie. Es wurde ein doppeltes Zertifikat installiert (mit einer falschen Seriennummer). Durch Entfernen wurde das Problem behoben.

Die von Apple] veröffentlichte Seriennummer für das Zertifikat stimmte mit der Installation im Systemzertifikat-Repository überein, im "Login" -Repository befand sich jedoch eine "VeriSign Class 3 Public Primary Certification Authority - G5" Nachdem ich es gelöscht hatte, wurde alles wieder normal.

Es ist immer noch ein Rätsel, warum das Zertifikat überhaupt im Login-Repository angezeigt wurde, zumal, wie ich gerade herausgefunden habe, bei mehreren anderen Personen genau das gleiche Problem aufgetreten ist: https://discussions.Apple.com/thread/6984765https://Apple.stackexchange.com/questions/180570/invalid-certificate-after-security-update-2015-004-in-mavericks

38
Drew

Es gibt zwei Ketten bis zur Verisign Class 3 G5. Zu einem bestimmten Zeitpunkt war Verisign über eine längere Kette an diese Wurzel gekettet, und einige Betriebssysteme waren verwirrt, als sie die AIA hinaufgingen, anstatt die Kette hochzugehen, die der Server dem Client übergeben hatte.

Dies klingt nach einem erheblichen Problem, insbesondere da die kombinierten Symantec-Eigenschaften die größten Tier-1-Zertifizierungsstellen sind.

Ich habe keinen Mac, daher konnte ich die Ergebnisse nicht replizieren. Ich kann bestätigen, dass ich mit Safari und Google Chrome in IOS und mit SSL Detective in IOS die erwarteten (guten) Ergebnisse erzielt habe.

Sie haben Recht, dass das Hinzufügen eines Zertifikats als vertrauenswürdig ohne Kenntnis seiner Herkunft und Vertrauenswürdigkeit sehr gefährlich ist. Guter Anruf!

4
DTK