- ¿La decisión de Google significa que sería prudente para mí también eliminar o desactivar la CA raíz de mi máquina?
No sé. Symantec no está siendo muy útil. En teoría, no debería dañar, pero algo parece estar roto en los clientes .
También: los proveedores no parecen estar de acuerdo con esto.
He preparado una secuencia de comandos rápida y he analizado cuatro almacenes de confianza (Apple, Java, Microsoft, Mozilla) que ssylze SSL test tool se envía con:
$ grep -rl 'Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority$' | xargs -- grep -A2 -- 'Serial Number'
apple.truststore/108.cer.txt: Serial Number:
apple.truststore/108.cer.txt- 70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
apple.truststore/108.cer.txt- Signature Algorithm: md2WithRSAEncryption
--
apple.truststore/164.cer.txt: Serial Number:
apple.truststore/164.cer.txt- 3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
apple.truststore/164.cer.txt- Signature Algorithm: sha1WithRSAEncryption
--
java.truststore/143.cer.txt: Serial Number:
java.truststore/143.cer.txt- 3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
java.truststore/143.cer.txt- Signature Algorithm: sha1WithRSAEncryption
--
java.truststore/61.cer.txt: Serial Number:
java.truststore/61.cer.txt- 70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
java.truststore/61.cer.txt- Signature Algorithm: md2WithRSAEncryption
--
microsoft.truststore/15.cer.txt: Serial Number:
microsoft.truststore/15.cer.txt- 70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf
microsoft.truststore/15.cer.txt- Signature Algorithm: md2WithRSAEncryption
Entonces: (si las tiendas sslyze están actualizadas) Apple tiene ambas, Java las tiene, Microsoft tiene una. Mozilla no tiene ninguno.
Sidenote: sslyze también se envía con un almacén de confianza "Google", lo he omitido, porque no sé qué es eso. (¿Para los teléfonos con Android, tal vez?) Por un lado, Chrome no utiliza su propio almacén de confianza. Se basa en el almacén de confianza del sistema operativo. Y esta puede ser la raíz del problema aquí. No pueden simplemente eliminar una CA, deben revocarla explícitamente. - Mozilla Firefox lo tiene más fácil a este respecto, ya que tienen su propio almacén de confianza.
- ¿O podría Microsoft Windows tener algún proceso automatizado que también dejaría de confiar en el mismo certificado (por ejemplo, en IE)?
Sí. Tienen un mecanismo de actualización de CA automatizado . Y regularmente hacen cambios. Por ejemplo, anunciaron la intención de eliminar unas 20 CA solo hoy.
- Además, en lugar de eliminar la CA raíz, podría ir a sus propiedades y tal vez actualizarla con "Deshabilitar todos los propósitos de este certificado". ¿Habría algún beneficio al elegir esta opción?
Absolutamente. O eso o mover el certificado a la tienda Untrusted Certificates
. De lo contrario, el proceso automatizado lo volverá a agregar.
Actualización 2015-12-30Wed. Oh querido, oh querido, oh querido.
Ryan Sleevi hizo otra publicación en el blog. Esta vez en privado y no como un portavoz de Google y tiene estas (desalentadoras) palabras para decir al respecto:
Diciembre de 2015: con solo una semana de aviso, Symantec solicita que se revoque un certificado raíz en el que se confíen miles de millones de dispositivos, por lo que Symantec ya no estará obligada a cumplir con los Requisitos básicos para esa raíz. Sin este aviso, el uso de Symantec de su raíz de esta manera habría sido una violación de sus acuerdos con los programas raíz, poniendo en riesgo a todos los demás certificados raíz que operan y cada uno de sus clientes. Sin embargo, incluso con este aviso, probablemente llevará años reducir la cantidad de usuarios y dispositivos en riesgo de los certificados emitidos por Symantec desde esta raíz a algo cuantificado en decenas de millones.
Pasos para explotar el paquete apple.pem
Ejecuté estos comandos para dividir el paquete PEM en archivos PEM individuales:
[~] $ wc apple.pem
4903 5279 303714 apple.pem
[~] $ mkdir apple.truststore
[~] $ cd apple.truststore/
[~/apple.truststore] $ awk 'split_after==1{++n;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".cer"}' < ../apple.pem
[~/apple.truststore] $ for RAWCERTFILE in *.cer; do openssl x509 -in $RAWCERTFILE -text 2>&1 > $RAWCERTFILE.txt; done