ルート証明書を削除した後、SafariとChromeが警告をスローしないのはなぜですか

DigiNotarが発行した証明書は、Mozillaによって本日ブラックリストに登録されました。FirefoxのナイトリービルドでDigiNotarが発行した証明書を使用してWebサイトを表示すると、警告が表示されます。

更新を待つ代わりに、自分のシステムで証明書が取り消されるのを防ぐために、キーチェーンからルート証明書を削除しましたが、Chromeは引き続きWebサイト証明書を検証し、Safariは警告をスローしません。

私は何かを逃していますか？

削除された証明書：

• DigiNotarルートCA
• Staat der Nederlanden Root CA
• Staat der Nederlanden Root CA-G2

テスト済みのウェブサイト：https : //as.digid.nl/

Chrome 13.0.782.218の問題を示す代替テストサイトは次のとおりです：http ://auth.pass.nl

キーチェーンからDigiNotarルートCAを削除しました。Chromeを再起動しました。ただし、Chromeはこのサイトは有効であり、DigiNotarルートCAをサイトのSSLの権限としてリストしています。

信頼できないものとして手動で設定したことを確認したすべてのサイトに警告が表示されます。おそらく、サーバーで物事が急速に変化しているため、同じアクションを実行している別の人が別の結果を表示しています。

一般的なブラックリストの概念と（CRL）のような証明書の失効またはOCSPのようなオンライン検証の概念は別にして、SSL証明書のメカニズムをブラウザーで分解してみましょう。私はChrome / Firefox /その他のブラウザーを脇に置いて、SafariとMacキーチェーンに焦点を当てます。

簡単に言えば、あなたがリストするサイトは、マスコミがすべてのブラックリストストーリーを実行する原因となった方法で使用された1つの証明書に依存しないということです。

これは、google.comで終わるすべてに一致する証明書に署名するために使用され、Google以外のサイトで使用されていることが判明しました。これは、誰かが銀行の金庫室にトンネルを建設するのと同じ技術です。トンネルを敷く計画はありませんが、誰もが堅固であると期待していた障壁の周りの実際の実際のトンネル。

次に、 Safariが、「悪い」としてリストしたサイトにフラグを立てなかった理由を知る方法について説明します。

使用しているMacから証明書を削除しておらず、キーチェーンアシスタントを起動して証明書アシスタントを使用しています（[ キーチェーンアクセス ]メニュー-> [ 認証アシスタント ]-> [ 開く... ]をクリックします）。

小さなCAウィンドウで、[続行]、[表示と評価]、[証明書の表示と評価]の順に選択して続行します。

ご覧のとおり、https：//as.digid.nl/は信頼の連鎖で4つの証明書を提供しています。

• 証明書名-タイプ-SHA1フィンガープリント-ステータス
• as.digid.nl-SSL-2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3-ホスト名の不一致のため無効（無害なエラー-ツールはMacと私のMacの証明書を評価します as.digid.nlではない）
• DigiNotar PKIoverheid CA Overheid en Bedrijven-中間-40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4-有効
• Stader der Nederlanden Overheid CA-中間-29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C-有効
• Stader der Nederlanden Root CA-root-10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04-有効

あなたの質問であなたはルートキーを削除したと述べました-もしそうなら、あなたのサファリは古い値をキャッシュしているか、あなたが見たとき、そのサイトは私がこの答えを作るのを見たものとは異なるSSL証明書を持っていました。どちらが正しいのかを確認するために、今行った手順を再現する必要があります。

私の場合、Safariを呼び出してサイトをロードするときにこのメッセージを表示するには、Staat der NederlandenルートCAルート証明書を信頼できないものとしてマークするだけでした。

すべての報道はDigiNotarルートCAのみが悪いと特定しているため、変更を取り消してStader der NederlandenルートCAを信頼しないようにします。

私はDigiNotarルートCAを決して信頼されないものとしてマークして、Appleが何をするかを見ていきます。この種のことに興味がある場合は、Apple Securityページを監視してください。

これはOS Xの深刻なバグのようです。

ユーザーはキーチェーンを使用して証明書を取り消すことができますが、より安全な拡張検証証明書を使用するサイトにたまたまアクセスした場合、MacはEV証明書がキ​​ーチェーンで信頼されていないとしてマークされた認証局から発行されたものであっても受け入れます。

出典：http : //www.computerworld.com

ウェブサイトはDigiNotar CA ルート証明書を使用していません。as.digid.nlの場合のルート証明書は、「Staat der NederlandenルートCA」からのものです–これは（おそらく）安全です。確かに、そこにDigiNotarの証明書は、証明書のウェブサイトのチェーン内にあるが、これはあるではないルート証明書-それは、単にチェーン内のリンクで、ある別の証明書。

表示されている証明書が複数のCAによって署名されている可能性があります（または中間CA証明書が複数のエンティティによって署名されています）。関連するすべての署名CAを識別して削除する必要があります。

私の知る限り、一部のブラウザ（Firefoxなど）はキーチェーンで証明書を使用していません。ChromeはWebkitに基づいているので、キーチェーンを使用していると思います。

Safariを再起動する必要はありませんでした。ルート証明書を「信頼できない」としてマークし、ページをリロードするだけで十分です。

ルート（Staat der Nederlanden Root CA）を信頼できないものとしてのみマークできるわけではありません。他の証明書はキーチェーンにはありませんが、SSLセッションを開始するたびにホストから送信されます。

as.digid.nlをロードするときに、証明書ウィンドウのスクリーンショットを投稿できますか？多分それは問題にいくつかの光を当てることができます...