web-dev-qa-db-fra.com

Pourquoi Symantec / Verisign CA apparaît-il comme une autorité non valide?

  1. La navigation typique sur www.BankOfAmerica.com m'a donné une erreur ERR_CERT_AUTHORITY_INVALID. C'était avec une version de production à jour de Google Chrome pour Mac.
  2. J'ai essayé avec Safari et j'ai obtenu le même résultat.
  3. Le certificat est valable jusqu'en 2016, il ne semble donc pas être un problème d'expiration.
  4. Il semble que l'autorité Symantec Class 3 EV SSL CA - G3 soit considérée comme non valide. Essayer de naviguer sur Twitter.com ainsi que https://my.symantec.com , fait apparaître le même avertissement. Les connexions HTTPS à d'autres sites (avec GeoTrust, Google et d'autres autorités de certification) fonctionnent correctement.
  5. OTOH, l'exécution d'un outil de vérification SSL (sur sslshopper.com) montre que tout est en ordre.

Pouvez-vous reproduire le comportement ci-dessus? Recevez-vous des avertissements SSL dans votre ou vos navigateurs sur des sites comme bankofamerica.com et twitter?

Pouvez-vous expliquer ce qui se passe?

Quant à mon niveau d'expertise, sachez que je ne suis pas un développeur mais un utilisateur final.

Mise à jour: - Les navigateurs Mac OS X obtiennent les autorités de certification racine de confiance du système d'exploitation, et cela a commencé juste après l'installation d'une mise à jour de sécurité Apple. Par conséquent, la confirmation du comportement nécessiterait probablement OS X 10.8.5 avec derniers correctifs de sécurité.

  • La méfiance commence avec l'autorité de certification racine, "VeriSign Class 3 Public Primary Certification Authority - G5". Je peux voir qu'une autorité de certification portant ce nom exact apparaît dans le système d'exploitation (base de données "Keychain" de Mac) en tant que certificat valide et approuvé, mais son numéro de série (et donc les empreintes digitales SHA-1 et MD5) sont complètement différents de ce que voient les navigateurs. .

  • Je me demande donc si le dernier correctif de sécurité d'Apple a cassé une bonne partie du Web. Ironiquement, cela a également cassé la mise à jour du logiciel du système d'exploitation d'Apple, car ils s'appuient également sur VeriSign. Je flairerai également les forums Apple Apple.

  • Il convient de noter que Chrome indique à la fois "le certificat n'est pas approuvé" et "votre connexion est cryptée avec une cryptographie obsolète").

  • Ce n'est pas ce que je comptais faire dimanche matin ... mais AFAIK le moyen le plus simple de casser SSL/TLS est pour moi en tant qu'utilisateur de dire "eh, je vais juste ajouter cette autorité de certification". Quand il s'agit de ma banque et d'un tiers du web, je procède avec prudence.

30
Drew

Résolu. Le problème a en effet été déclenché par l'installation de Apple Mavericks/ML Security Update 2015-004. Comme mentionné dans this Apple release note , il comprenait des mises à jour de la stratégie d'approbation des certificats. Un certificat en double a été installé (avec un mauvais numéro de série), ce qui a résolu le problème.

Le numéro de série du certificat tel que publié par Apple correspond à ce qui a été installé dans le référentiel de cert système, mais il y avait une "VeriSign Class 3 Public Primary Certification Authority - G5" dans le référentiel "Login" Une fois que je l'ai supprimé, tout est revenu à la normale.

Il y a encore un mystère quant à la raison pour laquelle le certificat est apparu dans le référentiel de connexion en premier lieu, d'autant plus que, comme je viens de le découvrir, plusieurs autres personnes ont rencontré le même problème exact: https://discussions.Apple.com/thread/6984765https://Apple.stackexchange.com/questions/180570/invalid-certificate-after-security-update-2015-004-in-mavericks

38
Drew

Il existe deux chaînes jusqu'à Verisign Class 3 G5. À un moment donné, Verisign enchaînait à cette racine via une chaîne plus longue, et certains systèmes d'exploitation étaient confus lors de la montée de l'AIA par rapport à la montée de la chaîne remise par le serveur au client.

Cela semble être un problème important, d'autant plus que les propriétés Symantec combinées sont les plus grandes autorités de certification de niveau 1.

Je n'ai pas de Mac, je n'ai donc pas pu reproduire les résultats. Je peux confirmer qu'avec Safari et Google Chrome dans IOS, et avec SSL Detective dans IOS, j'ai obtenu les (bons) résultats attendus.

Vous avez raison de dire que l'ajout d'un certificat de confiance sans connaître sa provenance et sa fiabilité est très dangereux. Bon appel!

4
DTK