Los sitios se firman con una CA VeriSign Class 3 G5 incorrecta

4

Anteriormente hoy, encontré un error de SSL al intentar acceder a twitter.com en Chrome. Al investigar el problema, encontré el mismo error al acceder a Discussions.apple.com. La mayoría de los otros sitios HTTPS estaban funcionando bien. Al probar Safari, ocurrieron los mismos errores, pero se me dio la opción de continuar independientemente.

Al principio pensé que era esto seguridad de Apple problema de actualización , especialmente porque era sugirió que Cyberduck con Amazon S3 lo estaba causando y que había accedido a S3 con la versión afectada hace un par de días. Sin embargo, recuerdo que anteriormente había solucionado este problema y que al ver Keychain hoy no vi los certificados duplicados que otros reportaban.

Después de una mayor investigación, twitter.com en mi iMac está firmado por el siguiente certificado:

VeriSign Class 3 Public Primary Certification Authority - G5
Serial:  35 97 31 87 F3 87 3A 07 32 7E CE 58 0C 9B 7E DA
SHA1:  F4 A8 0A 0C D1 E6 CF 19 0B 8C BC 6F BC 99 17 11 D4 82 C9 D0
MD5: 32 A1 9C 63 E8 B6 02 89 3C 67 48 29 D0 40 AB C8

Según Symantec (y mi llavero), este no es el certificado correcto . Mi Macbook y un compañero de trabajo iMac muestran twitter.com firmado por el certificado correcto:

VeriSign Class 3 Public Primary Certification Authority - G5
Serial:  18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
SHA1:  4E B6 D5 78 49 9B 1C CF 5F 58 1E AD 56 BE 3D 9B 67 44 A5 E5
MD5:  CB 17 E4 31 67 3E E2 09 FE 45 57 93 F3 0A FA 1C

Suceden cosas similares en otros sitios de Verisign que he probado (apple.com y subdomains, verisign.com), excepto Symantec.com, que está firmado con un certificado CA diferente, pero sigue siendo incorrecto.

VeriSign Class 3 Public Primary Certification Authority - G5
Serial:  25 0C E8 E0 30 61 2E 9F 2B 89 F7 05 4D 7C F8 FD
SHA1:  32 F3 08 82 62 2B 87 CF 88 56 C6 3D B8 73 DF 08 53 B4 DD 27
MD5:  F9 1F FE E6 A3 6B 99 88 41 D4 67 DD E5 F8 97 7A

Esto está firmado por el certificado correcto en todas las demás computadoras que he probado. Ningún otro CA parece ser efectuado. Cambié de cableado a inalámbrico en mi iMac pero el problema persistió.

Esto parece ser un síntoma de un ataque MITM, pero parece ser local para mi iMac, ya que ninguna otra computadora en la red está exhibiendo esto, lo que parece una contradicción directa.

Estoy completamente confundido y muy preocupado. He bloqueado el aire de mi iMac y ahora estoy ejecutando un análisis de virus. ¿Que esta pasando? ¿Qué pasos puedo seguir desde aquí?

    
pregunta Theron Luhn 08.05.2015 - 23:31
fuente

1 respuesta

1

No te asustes.
Son solo formas diferentes de construir una cadena de certificados de confianza. Ambos terminan en una CA raíz de confianza. Pero una vez con y una vez sin pasar por un certificado intermedio adicional.

Existe más de un certificado con la CN "VeriSign Class 3 Public Primary Certification Authority - G5"

Y SSL-Tools.net tiene una lista de ellos .

Ahí está su certificado F4A8 (Primeros dos bytes de hash SHA-1). Resulta que es un certificado de CA no autofirmado.

También hay su certificado 4EB6 allí. Resulta que uno es un CA raíz autofirmado.

Y tu certificado 32F3 también está ahí. Ese es un certificado de CA no autofirmado de nuevo.

Ahora, si el cliente trata cualquiera de estos tres como un ancla de confianza, depende del cliente. Trust Anchor significa: Bueno, esto es lo suficientemente bueno para mí. No haré más procesamiento. Hay diferentes tiendas de confianza en diferentes clientes. (Microsoft, Mozilla, Apple son algunas de las tiendas de fideicomiso más conocidas.)

¿Qué pasa ahora?
Entonces, ¿qué consecuencias prácticas de esto? Compruebe su sitio con laboratorios de SSL . (Asegúrese de marcar la casilla de verificación "No mostrar resultados en tableros"). Especialmente: asegúrese de que no haya errores de cadena.

Lectura adicional
Su pregunta es muy, muy parecida a la que se analiza aquí:
StackOverflow: error SSL de Python Urllib2
Dos de los certificados de CA son los mismos. Y la respuesta de Steffen Ullrich es muy buena.

    
respondido por el StackzOfZtuff 09.05.2015 - 11:03
fuente

Lea otras preguntas en las etiquetas