¿Debo preocuparme de que Google ya no confíe en el certificado de CA raíz de Symantec específico que también está en mi sistema Windows?

13

Esto está relacionado con esta otra pregunta que se refiere a Google a desconfiar del certificado raíz" Class 3 Public Primary CA "operado por Symantec Corporation, en Chrome, Android y los productos de Google , como se explica en esta publicación del blog de Google .

La publicación del blog de Google dijo que Google realizará este cambio "en el transcurso de las próximas semanas".

Google menciona entre los motivos de su solicitud que:

  

Symantec nos ha informado que pretenden utilizar este certificado raíz para fines que no sean certificados de confianza pública.

y

  

Symantec no está dispuesto a especificar los nuevos propósitos de estos certificados

La publicación del blog proporciona los detalles de este certificado como:

Friendly Name: Class 3 Public Primary Certification Authority
Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
...
MD2 Version
Fingerprint (SHA-1): 74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2

Así que verifiqué las CA raíz de confianza en mi Windows 7 Pro (usando certmgr.msc ) y el Nombre descriptivo y el Asunto coinciden con los detalles de una CA raíz de confianza en mi sistema. Además, la huella digital SHA-1 publicada por Google coincide con la huella digital de la CA en mi sistema.

Mis preguntas son las siguientes:

  1. ¿La decisión de Google significa que sería prudente para mí también eliminar o desactivar la CA raíz de mi máquina?
  2. ¿O podría Microsoft Windows tener algún proceso automatizado que también dejaría de confiar en el mismo certificado (por ejemplo, en IE)?
  3. Además, en lugar de eliminar la CA raíz, podría ir a sus propiedades y tal vez actualizarla con "Deshabilitar todos los propósitos de este certificado". ¿Habría algún beneficio al elegir esta opción?
pregunta SherlockEinstein 18.12.2015 - 20:53
fuente

3 respuestas

12
  
  1. ¿La decisión de Google significa que sería prudente para mí también eliminar o desactivar la CA raíz de mi máquina?
  2.   

No sé. Symantec no está siendo muy útil. En teoría, no debería dañar, pero algo parece estar roto en los clientes .

También: los proveedores no parecen estar de acuerdo con esto.

He preparado una secuencia de comandos rápida y he analizado cuatro almacenes de confianza (Apple, Java, Microsoft, Mozilla) que ssylze SSL test tool se envía con:

$ grep -rl 'Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority$' | xargs -- grep -A2 -- 'Serial Number'
apple.truststore/108.cer.txt:        Serial Number:
apple.truststore/108.cer.txt-            70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
apple.truststore/108.cer.txt-    Signature Algorithm: md2WithRSAEncryption
--
apple.truststore/164.cer.txt:        Serial Number:
apple.truststore/164.cer.txt-            3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
apple.truststore/164.cer.txt-    Signature Algorithm: sha1WithRSAEncryption
--
java.truststore/143.cer.txt:        Serial Number:
java.truststore/143.cer.txt-            3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
java.truststore/143.cer.txt-    Signature Algorithm: sha1WithRSAEncryption
--
java.truststore/61.cer.txt:        Serial Number:
java.truststore/61.cer.txt-            70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
java.truststore/61.cer.txt-    Signature Algorithm: md2WithRSAEncryption
--
microsoft.truststore/15.cer.txt:        Serial Number:
microsoft.truststore/15.cer.txt-            70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
microsoft.truststore/15.cer.txt-    Signature Algorithm: md2WithRSAEncryption

Entonces: (si las tiendas sslyze están actualizadas) Apple tiene ambas, Java las tiene, Microsoft tiene una. Mozilla no tiene ninguno.

Sidenote: sslyze también se envía con un almacén de confianza "Google", lo he omitido, porque no sé qué es eso. (¿Para los teléfonos con Android, tal vez?) Por un lado, Chrome no utiliza su propio almacén de confianza. Se basa en el almacén de confianza del sistema operativo. Y esta puede ser la raíz del problema aquí. No pueden simplemente eliminar una CA, deben revocarla explícitamente. - Mozilla Firefox lo tiene más fácil a este respecto, ya que tienen su propio almacén de confianza.

  
  1. ¿O podría Microsoft Windows tener algún proceso automatizado que también dejaría de confiar en el mismo certificado (por ejemplo, en IE)?
  2.   

Sí. Tienen un mecanismo de actualización de CA automatizado . Y regularmente hacen cambios. Por ejemplo, anunciaron la intención de eliminar unas 20 CA solo hoy.

  
  1. Además, en lugar de eliminar la CA raíz, podría ir a sus propiedades y tal vez actualizarla con "Deshabilitar todos los propósitos de este certificado". ¿Habría algún beneficio al elegir esta opción?
  2.   

Absolutamente. O eso o mover el certificado a la tienda Untrusted Certificates . De lo contrario, el proceso automatizado lo volverá a agregar.

Actualización 2015-12-30Wed. Oh querido, oh querido, oh querido.

Ryan Sleevi hizo otra publicación en el blog. Esta vez en privado y no como un portavoz de Google y tiene estas (desalentadoras) palabras para decir al respecto:

  

Diciembre de 2015: con solo una semana de aviso, Symantec solicita que se revoque un certificado raíz en el que se confíen miles de millones de dispositivos, por lo que Symantec ya no estará obligada a cumplir con los Requisitos básicos para esa raíz. Sin este aviso, el uso de Symantec de su raíz de esta manera habría sido una violación de sus acuerdos con los programas raíz, poniendo en riesgo a todos los demás certificados raíz que operan y cada uno de sus clientes. Sin embargo, incluso con este aviso, probablemente llevará años reducir la cantidad de usuarios y dispositivos en riesgo de los certificados emitidos por Symantec desde esta raíz a algo cuantificado en decenas de millones.

Pasos para explotar el paquete apple.pem

Ejecuté estos comandos para dividir el paquete PEM en archivos PEM individuales:

[~] $ wc apple.pem
  4903   5279 303714 apple.pem
[~] $ mkdir apple.truststore
[~] $ cd apple.truststore/
[~/apple.truststore] $ awk 'split_after==1{++n;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".cer"}' < ../apple.pem
[~/apple.truststore] $ for RAWCERTFILE in *.cer; do openssl x509 -in $RAWCERTFILE -text 2>&1 > $RAWCERTFILE.txt; done
    
respondido por el StackzOfZtuff 18.12.2015 - 21:50
fuente
6

Google está siguiendo las instrucciones proporcionadas por el emisor Symantec. Detalles aquí.

Además, Mozilla (Firefox) anunció la eliminación de este fideicomiso de certificado de CA raíz y otros similares en septiembre de 2014 aquí . Basaron esa decisión en la fuerza clave limitada de la clave de firma de antigüedad.

En consecuencia, debe considerar hacerlo como lo han hecho tanto Mozilla como Google y es recomendado por Symantec.

    
respondido por el zedman9991 18.12.2015 - 21:44
fuente
5

La forma en que está redactado, no es de confianza pública , puede sugerir (y parece que Google desea sugerirnos), que esta CA puede ser utilizada por intercepción / suplantación de situaciones cuando se solicite para hacerlo, tal vez por medios legales. El hecho de que Google esté preocupado (si es que alguna vez podría estarlo una empresa) también podría significar que estos certificados ni siquiera serán revelados por el registro de transparencia de certificados, y posiblemente también serán utilizados por los usuarios de la infraestructura de Google.

La PKI basada en CA es bastante frágil: cientos de CA pueden emitir certificados para un solo nombre, y aunque la mayoría de ellos son responsables de solo una minoría de los certificados emitidos, en algunos grupos regionales o culturales, algunos pueden ser más popular que todos los demás, por lo tanto, revocar la confianza para cualquiera de ellos puede tener efectos de gran alcance en unos pocos usuarios.

Siempre es una mala noticia para otros usuarios de la misma CA cuando una gran cantidad de usuarios no reconocen sus certificados, por lo que esto puede alejar a algunos de sus clientes. Si esto sucede, puede ser fácil seguir la opinión de Google, pero la dificultad es que no puede saber qué más se está rompiendo entre sus servicios.

Creo que es más bien un truco publicitario del lado de Google el atar la mano de Symantec para liberar más información, o dejar de seguir adelante con este plan que no explicaron a Google, cueste lo que cueste. Si desea estar absolutamente seguro y puede solucionar todos los problemas de verificación de certificados, puede ser más prudente seguir a Google al respecto. Pero esta es una opinión mucho más personal que puede respaldarse técnicamente.

    
respondido por el chexum 18.12.2015 - 21:23
fuente

Lea otras preguntas en las etiquetas