¿Por qué Symantec / Verisign CA aparece como una autoridad no válida? [cerrado]

Navega tus respuestas
30
  1. La navegación típica a www.BankOfAmerica.com me dio un error ERR_CERT_AUTHORITY_INVALID. Esto fue con una versión de producción actualizada de Google Chrome para Mac.
  2. Lo intenté con Safari y obtuve el mismo resultado.
  3. El certificado es válido hasta 2016, por lo que no parece ser un problema de caducidad.
  4. Parece que la autoridad Symantec Class 3 EV SSL CA - G3 se considera inválida. Al intentar navegar en twitter.com y en enlace , aparece la misma advertencia. Las conexiones HTTPS a otros sitios (con GeoTrust, Google y otras CA) funcionan bien.
  5. OTOH, al ejecutar una herramienta de comprobación de SSL (en sslshopper.com) muestra que todo está en orden.

¿Puedes reproducir el comportamiento anterior? ¿Recibe advertencias de SSL en sus navegadores en sitios como bankofamerica.com y twitter?

¿Puedes explicar lo que está pasando?

En cuanto a mi nivel de experiencia, tenga en cuenta que no soy un desarrollador sino un usuario final.

Actualizar: - Los navegadores Mac OS X obtienen las CA raíz de confianza del sistema operativo, y esto comenzó justo después de que instalé una actualización de seguridad de Apple. Entonces, confirmar el comportamiento probablemente requiera OS X 10.8.5 con los últimos parches de seguridad.

  • La desconfianza comienza con la CA raíz, "Autoridad de certificación primaria pública de clase 3 de VeriSign - G5". Puedo ver que una CA con este nombre exacto aparece en el sistema operativo (base de datos "Llavero" de Mac) como un certificado válido y confiable, pero su número de serie (y, por lo tanto, las huellas dactilares de SHA-1 y MD5) es completamente diferente a lo que ven los navegadores .

  • Por lo tanto, me pregunto si el último parche de seguridad de Apple rompió una buena parte de la web. Irónicamente, también rompió la Actualización de software del SO de Apple porque también dependen de VeriSign. También husmearé en los foros de Apple.

  • Vale la pena señalar que Chrome dice que "el certificado no es confiable" y que "su conexión está cifrada con criptografía obsoleta".

  • Esto no es lo que planeaba hacer el domingo por la mañana ... pero con AFAIK, la forma más fácil de romper SSL / TLS es que yo, como usuario, diga "eh, simplemente agregaré esta CA ". Cuando tiene que ver con mi banco y un tercio de la web, procedo con precaución.

pregunta Drew 12.04.2015 - 18:15
fuente

2 respuestas

38

Resuelto. El problema se desencadenó al instalar Apple Mavericks / ML Security Update 2015-004. Como se menciona en esta nota de lanzamiento de Apple , incluía actualizaciones a la política de confianza del certificado. Se instaló un certificado duplicado (con un número de serie incorrecto), eliminándolo solucionó el problema.

El número de serie del certificado publicado por Apple coincidía con lo que se instaló en el repositorio de certificados del sistema, pero había una "Autoridad de certificación primaria pública de VeriSign clase 3 - G5" en el repositorio de "Inicio de sesión". Una vez que lo borré, todo volvió a la normalidad.

Todavía hay un poco de misterio por qué apareció el certificado en el repositorio de inicio de sesión, especialmente porque, como acabo de descubrir, varias otras personas experimentaron el mismo problema: enlace enlace

    
respondido por el Drew 12.04.2015 - 19:27
fuente
4

Hay dos cadenas hasta Verisign Class 3 G5. En un momento dado, Verisign estaba encadenando a esa raíz a través de una cadena más larga, y algunos sistemas operativos se confundieron al subir el AIA en lugar de subir la cadena entregada por el servidor al cliente.

Esto parece ser un problema importante, especialmente porque las propiedades combinadas de Symantec son las CA de nivel 1 más grandes.

No tengo una Mac, por lo que no pude replicar los resultados. Puedo confirmar que con Safari y Google Chrome en IOS, y con SSL Detective en IOS, obtuve los buenos resultados esperados.

Tiene razón en que agregar un certificado como confiable sin conocer su procedencia y confiabilidad es muy peligroso. ¡Buena llamada!

    
respondido por el DTK 12.04.2015 - 19:30
fuente

Lea otras preguntas en las etiquetas

¿Las reglas de complejidad de las contraseñas son contraproducentes? ¿Qué es un ataque de seguridad de n días?