web-dev-qa-db-ja.com

Symantec / Verisign CAが無効な機関として表示されるのはなぜですか?

  1. 通常、www.BankOfAmerica.comにアクセスすると、ERR_CERT_AUTHORITY_INVALIDエラーが発生しました。これはGoogleの最新の製品版でしたChrome。
  2. 私はSafariを試してみましたが、同じ結果が得られました。
  3. 証明書は2016年まで有効であるため、有効期限の問題ではないようです。
  4. Symantec Class 3 EV SSL CA-G3の権限は無効と見なされているようです。 Twitter.comと https://my.symantec.com を参照しようとすると、同じ警告が表示されます。他のサイト(GeoTrust、Google、その他のCAを使用)へのHTTPS接続は正常に機能します。
  5. SSLチェッカーツール(sslshopper.com)を実行しているOTOHは、すべてが正常であることを示しています。

上記の動作を再現できますか? bankofamerica.comやtwitterなどのサイトのブラウザーでSSL警告が表示されますか?

何が起こっているのか説明できますか?

私の専門知識のレベルに関しては、私は開発者ではなく、エンドユーザーです。

更新:-Mac OS XブラウザはOSから信頼されたルートCAを取得し、これはAppleセキュリティ更新プログラムをインストールした直後に開始されました。そのため、動作を確認するにはOS X 10.8.5最新のセキュリティパッチ。

  • 不信感は、ルートCA「VeriSign Class 3 Public Primary Certification Authority-G5」から始まります。この正確な名前のCAは、有効で信頼できる証明書としてOS(Macの「キーチェーン」データベース)に表示されますが、そのシリアル番号(したがってSHA-1およびMD5フィンガープリント)は、ブラウザーで表示されるものとは完全に異なります。

  • したがって、Appleの最新のセキュリティパッチがウェブのかなりの部分を破ったのではないかと思います。皮肉なことに、AppleのOSソフトウェアアップデートも、VeriSignに依存しているために破られました。私はAppleフォーラムも見て回ります。

  • Chromeは、「証明書は信頼されていません」と「接続は廃止された暗号で暗号化されています」の両方を示しています。

  • これは私が日曜日の朝に予定していたことではありません...しかし、SSL/TLSを破る最も簡単な方法は、ユーザーとして「ええ、私はこのCAを追加するだけです」と言うことです。それが私の銀行とウェブの3分の1に関係している場合、私は注意して進めます。

30
Drew

解決しました。 Apple Mavericks/ML Security Update 2015-004。 this Apple release note で述べたように、証明書信頼ポリシーの更新が含まれています(間違ったシリアル番号で)重複した証明書がインストールされていたため、証明書を削除すると問題が修正されました。

Appleによって発行された証明書のシリアル番号は、システム証明書リポジトリにインストールされているものと一致しましたが、「ログイン」リポジトリに「VeriSign Class 3 Public Primary Certification Authority-G5」がありました一度削除すると、すべて正常に戻りました。

証明書がログインリポジトリに最初に表示された理由についてはまだ謎があります。特に、私が気付いたように、他の何人かの人が同じ正確な問題を経験したためです https://discussions.Apple.com/thread/6984765https://Apple.stackexchange.com/questions/180570/invalid-certificate-after-security-update-2015-004-in-mavericks

38
Drew

Verisign Class 3 G5までのチェーンは2つあります。ある時点で、Verisignはより長いチェーンを介してそのルートにチェーンを張っていました。一部のOSは、サーバーからクライアントに渡されたチェーンを歩くのではなく、AIAを登るときに混乱しました。

特に結合されたシマンテックのプロパティは最大のティア1 CAであるため、これは重大な問題のように思えます。

Macを持っていないので、結果を再現することができませんでした。 SafariとGoogle Chrome、およびIOSのSSL Detectiveを使用すると、期待どおりの(良い)結果が得られたことを確認できます。

出所と信頼性を知らずに信頼できる証明書を追加することは非常に危険です。いいね!

4
DTK