certificado de hoja no reconocido

Navega tus respuestas
1

Cada 15 minutos recibo este mensaje en mi system.log 

Apr 25 22:05:36 Ivans-MacBook-Pro.local apsd[194]: Unrecognized leaf certificate
Apr 25 22:20:57 Ivans-MacBook-Pro.local apsd[194]: Unrecognized leaf certificate

Ahora he descubierto aproximadamente qué es qué:

apsd - Daemon del servicio de notificaciones push de Apple
Certificado hoja : el primer certificado de la cadena de certificados (no estoy seguro, se menciona en algunos sitios de Microsoft)

¿Pero qué significa? ¿Qué tan grave es? ¿Qué es exactamente el certificado de la hoja? ¿Tengo un certificado falso / falso en mi sistema?

Es una instalación de Mac OS X Mavericks 10.9.2 bastante limpia, solo algunas aplicaciones instaladas en la tienda de aplicaciones de Mac oficial (Xcode y algunos otros editores de codificación)

    
pregunta Ivan Kovacevic 25.04.2014 - 22:24
fuente

2 respuestas

2

apsd - Demonio del servicio de notificaciones push de Apple

Al muestrear el proceso en ejecución en el Monitor de actividad, obtengo esto:

Ruta: /System/Library/PrivateFrameworks/ApplePushService.framework/apsd
Versión: 206.2
Tipo de código: X86-64
Proceso principal: launchd [1]

El proceso se inicia en el inicio del sistema y permanece constantemente activo. Cada 15 minutos se genera un mensaje de registro en el archivo system.log (visible por la aplicación de la Consola), que contiene una advertencia de que hay un certificado de hoja no reconocido . He usado tcpdump / Wireshark para muestrear el tráfico de la red cuatro veces individuales (solo para estar seguro).

Primera vez:
Destino: 4-courier.push.apple.com (17.172.232.62)
Puerto: 5223

Segunda vez:
Destino: 14-courier.push.apple.com (17.149.32.65)
Puerto: 5223

Tercera vez:
Destino: 44-courier.push.apple.com (17.172.233.136)
Puerto: 5223

Cuarta vez:
Destino: 23-courier.push.apple.com (17.149.36.193)
Puerto: 5223

Las direcciones IP realmente pertenecen a Apple, 

NetRange: 17.0.0.0 - 17.255.255.255
CIDR: 17.0.0.0/8
OriginAS: 
NetName: APPLE-WWNET
NetHandle: NET-17-0-0-0-1

OrgName: Apple Inc.
OrgId: APPLEC-1-Z
Address: 20400 Stevens Creek Blvd., City Center Bldg 3
City: Cupertino
StateProv: CA
PostalCode: 95014
Country: US
RegDate: 2009-12-14
Updated: 2011-03-08
Ref: http://whois.arin.net/rest/org/APPLEC-1-Z

El tráfico era (como se esperaba) SSL en personalizado puerto 5223 como se describe aquí: enlace

Puerto: 5223
TCP o UDP: TCP
Nombre del servicio o protocolo: Apple Push Notification Service
RFC: -
Nombre del servicio: -
Utilizado por / Información adicional: Servicios iCloud DAV (contactos, calendarios y marcadores) ), APNS, FaceTime, Game Center, Photo Stream, Back to My Mac

El certificado que el servidor está enviando tiene el siguiente aspecto: 

Identity: courier.push.apple.com
Verified by: Entrust Certification Authority - L1C
Expires: 11/21/2015

Subject Name
C (Country):    US
ST (State): California
L (Locality):   Cupertino
O (Organization):   Apple Inc.
CN (Common Name):   courier.push.apple.com

Obviamente, Apple cambió algo en el esquema de equilibrio de carga porque apsd nunca se conecta directamente al dominio courier.push.apple.com . Y el servicio no es accesible a través de ese dominio si uno intenta conectarse manualmente desde el navegador (como enlace ) tampoco.

Sin embargo, en los subdominios mencionados:
enlace
enlace
enlace
enlace

Es posible y aparece el error: "Este certificado no es válido (no coincide el nombre de host)" . Lo que creo que está sucediendo es que apsd informa lo mismo, pero los desarrolladores decidieron escribir eso en los registros como "certificado de hoja no reconocido".

Apple debe crear un nuevo certificado que incluya un comodín ( CN (nombre común): * courier.push.apple.com) para corregir este problema. He enviado un Informe de Comentarios / Errores en enlace

Pero esto podría ser más serio que un mensaje de registro molesto, si apsd en realidad ignora el certificado incorrecto y continúa trabajando.

Continúa aquí: Es de Apple La implementación del servicio de notificación push es vulnerable a un ataque MitM

    
respondido por el Ivan Kovacevic 26.04.2014 - 19:53
fuente
2

Un "certificado hoja" es lo que se conoce más comúnmente como certificado de entidad final . Los certificados vienen en cadenas, comenzando con la CA raíz, siendo cada certificado la CA que emitió (firmó) la siguiente. El último certificado es el certificado que no es de CA que contiene la clave pública que realmente desea utilizar.

Si la PKI se representa como un árbol, con la CA raíz como, sí, la raíz, los certificados de entidad final son las hojas.

El Servicio de notificaciones push de Apple es un sistema en el que un componente de su sistema se conecta de nuevo a Apple para recibir "notificaciones "(pequeños mensajes relacionados con sus aplicaciones instaladas). De los mensajes que observa, es plausible que la conexión use SSL, y el certificado del servidor (en el lado de Apple) se haya cambiado recientemente, y (por alguna razón) no hace feliz a apsd .

Algunas búsquedas en Google muestran que otras personas reciben estos mensajes y parece que no notan ninguna consecuencia negativa. Esto podría ser una consecuencia de alguna disfunción en Apple, y posiblemente podría solucionarse en unas pocas horas. Para estar seguro, intente ejecutar Wireshark para ver si puede obtener una copia del tráfico de la red: si de hecho hay alguna SSL, entonces Wireshark lo mostrará y obtendrá una copia del certificado ofensivo.

    
respondido por el Thomas Pornin 25.04.2014 - 22:42
fuente

Lea otras preguntas en las etiquetas

¿Puede un enrutador proteger nuestra red o necesitamos un firewall de hardware? ¿La inyección de SQL no funciona en mi sitio?