Pouvez-vous reproduire le comportement ci-dessus? Recevez-vous des avertissements SSL dans votre ou vos navigateurs sur des sites comme bankofamerica.com et twitter?
Pouvez-vous expliquer ce qui se passe?
Quant à mon niveau d'expertise, sachez que je ne suis pas un développeur mais un utilisateur final.
Mise à jour: - Les navigateurs Mac OS X obtiennent les autorités de certification racine de confiance du système d'exploitation, et cela a commencé juste après l'installation d'une mise à jour de sécurité Apple. Par conséquent, la confirmation du comportement nécessiterait probablement OS X 10.8.5 avec derniers correctifs de sécurité.
La méfiance commence avec l'autorité de certification racine, "VeriSign Class 3 Public Primary Certification Authority - G5". Je peux voir qu'une autorité de certification portant ce nom exact apparaît dans le système d'exploitation (base de données "Keychain" de Mac) en tant que certificat valide et approuvé, mais son numéro de série (et donc les empreintes digitales SHA-1 et MD5) sont complètement différents de ce que voient les navigateurs. .
Je me demande donc si le dernier correctif de sécurité d'Apple a cassé une bonne partie du Web. Ironiquement, cela a également cassé la mise à jour du logiciel du système d'exploitation d'Apple, car ils s'appuient également sur VeriSign. Je flairerai également les forums Apple Apple.
Il convient de noter que Chrome indique à la fois "le certificat n'est pas approuvé" et "votre connexion est cryptée avec une cryptographie obsolète").
Ce n'est pas ce que je comptais faire dimanche matin ... mais AFAIK le moyen le plus simple de casser SSL/TLS est pour moi en tant qu'utilisateur de dire "eh, je vais juste ajouter cette autorité de certification". Quand il s'agit de ma banque et d'un tiers du web, je procède avec prudence.
Résolu. Le problème a en effet été déclenché par l'installation de Apple Mavericks/ML Security Update 2015-004. Comme mentionné dans this Apple release note , il comprenait des mises à jour de la stratégie d'approbation des certificats. Un certificat en double a été installé (avec un mauvais numéro de série), ce qui a résolu le problème.
Le numéro de série du certificat tel que publié par Apple correspond à ce qui a été installé dans le référentiel de cert système, mais il y avait une "VeriSign Class 3 Public Primary Certification Authority - G5" dans le référentiel "Login" Une fois que je l'ai supprimé, tout est revenu à la normale.
Il y a encore un mystère quant à la raison pour laquelle le certificat est apparu dans le référentiel de connexion en premier lieu, d'autant plus que, comme je viens de le découvrir, plusieurs autres personnes ont rencontré le même problème exact: https://discussions.Apple.com/thread/6984765https://Apple.stackexchange.com/questions/180570/invalid-certificate-after-security-update-2015-004-in-mavericks
Il existe deux chaînes jusqu'à Verisign Class 3 G5. À un moment donné, Verisign enchaînait à cette racine via une chaîne plus longue, et certains systèmes d'exploitation étaient confus lors de la montée de l'AIA par rapport à la montée de la chaîne remise par le serveur au client.
Cela semble être un problème important, d'autant plus que les propriétés Symantec combinées sont les plus grandes autorités de certification de niveau 1.
Je n'ai pas de Mac, je n'ai donc pas pu reproduire les résultats. Je peux confirmer qu'avec Safari et Google Chrome dans IOS, et avec SSL Detective dans IOS, j'ai obtenu les (bons) résultats attendus.
Vous avez raison de dire que l'ajout d'un certificat de confiance sans connaître sa provenance et sa fiabilité est très dangereux. Bon appel!