Hace algún tiempo, Google Chrome había anunciado planes para desconfiar de los certificados de Symantec . Estoy tratando de averiguar cómo se hace esto para un POC.
Cuando visito chase.com en Google Chrome, recibo el siguiente mensaje en la consola dev:
El certificado SSL utilizado para cargar recursos de enlace Se desconfiará en la m70. Una vez desconfiados, se evitará a los usuarios. desde la carga de estos recursos. Consulte enlace para más información.
Desde la fuente de Chromium, pude ver que tienen una lista de hashes que comprueban contra - symantec_certs.cc y en este README.md usan el siguiente comando openssl para obtener los hashes de los certificados.
for f in roots/*.pem;
do openssl x509 -noout -pubkey -in "${f}" | openssl asn1parse -inform pem -out /tmp/pubkey.out -noout;
digest='cat /tmp/pubkey.out | openssl dgst -sha256 -c | awk -F " " '{print $2}' | sed s/:/,0x/g ';
echo "0x${digest} ${f##*/}";
done | sort
Ahora para chase.com , obtuve los certificados utilizando el siguiente comando
openssl s_client -host chase.com -port 443 -prexit -showcerts
Esto da como resultado dos certificados, ambos de los cuales copié en archivos separados (desde 'comenzar certificado' hasta 'finalizar certificado') cert1.cert y cert2.cert
Para obtener los hashes, ejecuta lo siguiente
for f in ./*.cert;
do cat "${f}" | openssl x509 -noout -pubkey | openssl asn1parse -inform pem -out /tmp/pubkey.out -noout;
digest='cat /tmp/pubkey.out | openssl dgst -sha256 -c | awk -F " " '{print $2}' | sed s/:/,0x/g ';
echo "0x${digest}";
done
que da
0x14,0x72,0x0b,0x47,0x2b,0x12,0x3d,0xc2,0xfd,0xcc,0x13,0x2a,0x81,0x09,0xc7,0x29,0x97,0x13,0x36,0xaf,0x95,0x38,0x9f,0x89,0x12,0xa4,0x71,0xa8,0x78,0xdd,0xb7,0x37
0x80,0xcc,0x56,0x3a,0xb5,0xf8,0x3c,0xc4,0x1e,0xb0,0xaf,0x6a,0x14,0xd6,0xd8,0x07,0x18,0xc1,0x7e,0x35,0x2f,0x96,0x49,0xff,0xbc,0xdd,0x67,0xf8,0xbf,0x65,0x13,0x91
ambos de los cuales no están en symantec_certs.cc
Creo que la cadena de certificados no contiene el certificado Root CA, ¿se supone que también calculo el hash de la clave pública de Root y lo comparo con las raíces desconfiadas? En caso afirmativo, ¿cómo obtener el certificado raíz?