¿En qué confía Chrome los certificados de Symantec?

5

Hace algún tiempo, Google Chrome había anunciado planes para desconfiar de los certificados de Symantec . Estoy tratando de averiguar cómo se hace esto para un POC.

Cuando visito chase.com en Google Chrome, recibo el siguiente mensaje en la consola dev:

  

El certificado SSL utilizado para cargar recursos de enlace   Se desconfiará en la m70. Una vez desconfiados, se evitará a los usuarios.   desde la carga de estos recursos. Consulte enlace   para más información.

Desde la fuente de Chromium, pude ver que tienen una lista de hashes que comprueban contra - symantec_certs.cc y en este README.md usan el siguiente comando openssl para obtener los hashes de los certificados.

for f in roots/*.pem; 
do openssl x509 -noout -pubkey -in "${f}" | openssl asn1parse -inform pem -out /tmp/pubkey.out -noout; 
digest='cat /tmp/pubkey.out | openssl dgst -sha256 -c | awk -F " " '{print $2}' | sed s/:/,0x/g '; 
echo "0x${digest} ${f##*/}"; 
done | sort 

Ahora para chase.com , obtuve los certificados utilizando el siguiente comando

openssl s_client -host chase.com -port 443 -prexit -showcerts

Esto da como resultado dos certificados, ambos de los cuales copié en archivos separados (desde 'comenzar certificado' hasta 'finalizar certificado') cert1.cert y cert2.cert

Para obtener los hashes, ejecuta lo siguiente

for f in ./*.cert; 
do cat "${f}" | openssl x509 -noout -pubkey | openssl asn1parse -inform pem -out /tmp/pubkey.out -noout; 
digest='cat /tmp/pubkey.out | openssl dgst -sha256 -c | awk -F " " '{print $2}' | sed s/:/,0x/g '; 
echo "0x${digest}"; 
done

que da

0x14,0x72,0x0b,0x47,0x2b,0x12,0x3d,0xc2,0xfd,0xcc,0x13,0x2a,0x81,0x09,0xc7,0x29,0x97,0x13,0x36,0xaf,0x95,0x38,0x9f,0x89,0x12,0xa4,0x71,0xa8,0x78,0xdd,0xb7,0x37
0x80,0xcc,0x56,0x3a,0xb5,0xf8,0x3c,0xc4,0x1e,0xb0,0xaf,0x6a,0x14,0xd6,0xd8,0x07,0x18,0xc1,0x7e,0x35,0x2f,0x96,0x49,0xff,0xbc,0xdd,0x67,0xf8,0xbf,0x65,0x13,0x91

ambos de los cuales no están en symantec_certs.cc

Creo que la cadena de certificados no contiene el certificado Root CA, ¿se supone que también calculo el hash de la clave pública de Root y lo comparo con las raíces desconfiadas? En caso afirmativo, ¿cómo obtener el certificado raíz?

    
pregunta Krishnaraj 27.12.2017 - 06:54
fuente

0 respuestas

Lea otras preguntas en las etiquetas