सफारी और क्रोम रूट प्रमाणपत्रों को हटाने के बाद चेतावनी क्यों नहीं फेंक रहे हैं

DigiNotar द्वारा जारी प्रमाणपत्रों को आज मोज़िला द्वारा ब्लैकलिस्ट कर दिया गया है। DigiNotar द्वारा फ़ायरफ़ॉक्स के एक रात के निर्माण के साथ जारी किए गए प्रमाण पत्रों के साथ वेबसाइटों को देखने से चेतावनी दी जाएगी।

अपडेट का इंतजार करने के बजाय, प्रमाण पत्र को अपने सिस्टम पर निरस्त करने के लिए, मैंने अपने किचेन से रूट सर्टिफिकेट को हटा दिया, लेकिन क्रोम अभी भी वेबसाइट के प्रमाण पत्र को मान्य करता है और सफारी कोई चेतावनी नहीं दे रहा है।

क्या मैं कुछ भूल रहा हूँ?

हटाए गए प्रमाण पत्र:

• डिगिनोटार रूट सीए
• स्टैट डेर नार्थलैंडन रूट सीए
• स्टैट डेर नार्थलैंडन रूट सीए - जी 2

वेबसाइट का परीक्षण: https://as.digid.nl/

यहां एक वैकल्पिक परीक्षण साइट दी गई है जो Chrome 13.0.782.218 में समस्या दिखाती है: http://auth.pass.nl

मैंने अपने किचेन से DigiNotar रूट CA को हटा दिया है। क्रोम को फिर से शुरू किया गया है। लेकिन क्रोम अभी भी कहता है कि यह साइट वैध है और साइट के लिए SSL पर प्राधिकरण के रूप में DigiNotar रूट CA को सूचीबद्ध करता है।

हर साइट जो मैं देखता हूं कि मैंने मैन्युअल रूप से सेट किया है क्योंकि अविश्वास एक चेतावनी दिखाता है। शायद चीजें सर्वर पर इतनी तेजी से बदल रही हैं, एक ही क्रिया करने वाले विभिन्न लोग अलग-अलग परिणाम देख रहे हैं।

आइए सामान्य रूप से ब्लैकलिस्टिंग की अवधारणा को सेट करें और (CRL) या OCSP की तरह ऑनलाइन सत्यापन रद्द करें और ब्राउज़र में SSL प्रमाणपत्रों के तंत्र को अलग करें। मैं क्रोम / फ़ायरफ़ॉक्स / अन्य ब्राउज़रों को अलग रखूँगा और सफारी और मैक किचेन पर ध्यान केंद्रित करूँगा क्योंकि यह इस पोस्ट के लिए पर्याप्त परेशानी है।

संक्षिप्त उत्तर वह साइट है जिसे आप सूचीबद्ध करते हैं वह उस प्रमाणपत्र पर निर्भर नहीं करता है जिसका उपयोग इस तरह से किया गया था जिससे प्रेस को सभी ब्लैकलिस्ट कहानियों को चलाने का कारण बना।

यह उन प्रमाणपत्रों पर हस्ताक्षर करने के लिए उपयोग किया गया था जो google.com में समाप्त होने वाली किसी भी चीज़ से मेल खाते थे और उन्हें उन साइटों पर उपयोग में देखा जाता था जो निश्चित रूप से Google नहीं थीं। यह एक बैंक तिजोरी में सुरंगों का निर्माण करने वाले किसी व्यक्ति के बराबर एक तकनीकी है। सुरंग की योजना नहीं है - लेकिन एक काम कर रहे वास्तविक सुरंग के चारों ओर एक अवरोध सभी के ठोस होने की उम्मीद है।

अब यह जानने के लिए कि सफारी ने आपको "खराब" के रूप में सूचीबद्ध साइट को ध्वजांकित क्यों नहीं किया।

मैंने किसी भी सर्टिफिकेट को मैक से डिलीट नहीं किया है और मैं सिर्फ कीचेन असिस्टेंट को सर्टिफिकेट असिस्टेंट ( किचेन एक्सेस मेन्यू के तहत -> सर्टिफिकेशन असिस्टेंट -> ओपन ...

छोटी सीए विंडो में, चयन जारी रखें, फिर देखें और मूल्यांकन करें, फिर प्रमाणपत्र देखें और मूल्यांकन करें, फिर जारी रखें।

जैसा कि आप अब देख सकते हैं, https://as.digid.nl/ विश्वास की श्रृंखला में चार प्रमाण पत्र प्रदान कर रहा है:

• प्रमाणित नाम - प्रकार - SHA1 फिंगरप्रिंट - स्थिति
• as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01A 2F 3E 5A EE BE 36 5F EC 82 F3 - होस्ट नाम बेमेल (हानिरहित त्रुटि के कारण अमान्य) - टूल आपके मैक और मेरे मैक के लिए उस प्रमाणपत्र का मूल्यांकन करता है As.digid.nl नहीं है)
• DigiNotar PKIoverheid CA Overheid en Bedrijven - मध्यवर्ती - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - वैध
• Staat der Nederlanden Overheid CA - मध्यवर्ती - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - मान्य
• Staat der Nederlanden रूट CA - रूट - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - वैध

आपके प्रश्न में आपने कहा था कि आपने रूट की को डिलीट कर दिया है - यदि हां, तो आपकी सफारी या तो पुराने मानों को कैश कर रही है या जब आपने देखा, तो उस साइट के पास एसएसएल सर्टिफिकेट था जिसे मैंने देखा था कि यह उत्तर बनाने से अलग है। आपको उन चरणों को पुन: प्रस्तुत करना होगा जो मैंने अभी देखा था जो कि मामला था।

मेरे मामले में, मुझे केवल Staat der Nederlanden Root CA रूट सर्टिफिकेट को चिन्हित करना था, क्योंकि जब आप साइट को लोड करते हैं, तो सफारी को गंजा करने के लिए और इस संदेश को दिखाने के लिए अविश्वासित होना चाहिए।

चूंकि सभी प्रेस केवल DigiNotar Root CA के खराब होने के बारे में विशिष्ट है , मैं Staat der Nederlanden Root CA पर भरोसा नहीं करने के लिए अपने परिवर्तन को पूर्ववत करने जा रहा हूं ।

मैं DigiNotar Root CA को चिह्नित करने जा रहा हूं, क्योंकि कभी भी भरोसा नहीं करना चाहिए और इंतजार करना चाहिए कि एप्पल क्या करता है। यदि आप इस प्रकार की रुचि रखते हैं, तो Apple सुरक्षा पृष्ठ की निगरानी करें ।

ऐसा लगता है कि यह ओएस एक्स में एक गंभीर बग है।

उपयोगकर्ता किचेन का उपयोग करके एक प्रमाण पत्र को रद्द कर सकते हैं, लेकिन अगर वे किसी साइट पर जाने के लिए होते हैं जो अधिक-सुरक्षित विस्तारित सत्यापन प्रमाणपत्र का उपयोग करता है, तो मैक ईवी प्रमाण पत्र को स्वीकार कर लेगा, भले ही यह एक प्रमाणपत्र प्राधिकारी द्वारा जारी किया गया हो जिसे किचेन में अविश्वास के रूप में चिह्नित किया गया हो।

स्रोत: http://www.computerworld.com

वेबसाइट DigiNotar CA रूट प्रमाणपत्र का उपयोग नहीं करती है । As.digid.nl के मामले में रूट सर्टिफिकेट "Staat der Nederlanden root CA" से है - जो सुरक्षित है (संभवतः)। यह सच है, वहाँ प्रमाण पत्र की वेबसाइट की श्रृंखला में एक DigiNotar प्रमाण पत्र है, लेकिन यह है नहीं रूट प्रमाणपत्र - यह महज श्रृंखला में एक कड़ी है, और एक है विभिन्न प्रमाण पत्र।

यह संभव है कि आप जो सीट्स देख रहे हैं, उन पर कई सीए द्वारा हस्ताक्षरित हों (या इंटरमीडिएट सीए सीर्ट्स कई संस्थाओं द्वारा हस्ताक्षरित हैं)। आपको शामिल सभी हस्ताक्षरित CA को पहचानना और निकालना होगा।

जहाँ तक मुझे पता है, कुछ ब्राउज़र (जैसे फ़ायरफ़ॉक्स) आपके किचेन में प्रमाण पत्र का उपयोग नहीं कर रहे हैं। Chrome वेबकिट पर आधारित है, इसलिए मुझे लगता है कि यह किचेन का उपयोग करता है।

सफारी को फिर से शुरू करना मेरे लिए आवश्यक नहीं था; रूट प्रमाणपत्र को "अविश्वसनीय" के रूप में चिह्नित करना और पृष्ठ को फिर से लोड करना पर्याप्त था।

ऐसा नहीं है कि आप केवल रूट (Staat der Nederlanden Root CA) को अविश्वास के रूप में चिह्नित कर सकते हैं; अन्य सीट्स आपके किचेन में नहीं हैं, बल्कि हर बार जब आप एसएसएल सत्र शुरू करते हैं, तो मेजबान से प्रसारित होते हैं।

जब आप as.digid.nl लोड करते हैं तो क्या आप प्रमाणित विंडो का स्क्रीनशॉट पोस्ट कर सकते हैं? हो सकता है कि इस मुद्दे पर कुछ प्रकाश डाला जाए ...