Tous les sites que je consulte et que j'ai définis manuellement comme non fiables affichent un avertissement. Peut-être les choses changent-elles si rapidement sur les serveurs que des personnes différentes effectuant les mêmes actions obtiennent des résultats différents.
Mettons de côté le concept de liste noire en général et révocation du certificat (CRL) ou une vérification en ligne telle que OCSP et de décortiquer le mécanisme des certificats SSL dans le navigateur. Je laisserai de côté Chrome/Firefox/les autres navigateurs et me concentrerai sur Safari et le trousseau Mac, car c'est un problème suffisant pour ce billet.
La réponse courte est que le site que vous mentionnez ne dépend pas du seul certificat qui a été utilisé d'une manière qui a conduit la presse à publier tous les articles sur la liste noire.
Il a été utilisé pour signer des certificats qui correspondaient à tout ce qui se terminait par google.com et il a été repéré sur des sites qui n'étaient certainement pas ceux de google. C'est l'équivalent technologique de quelqu'un qui construirait des tunnels dans un coffre-fort de banque. Il ne s'agit pas d'un projet de tunnel, mais d'un tunnel fonctionnel qui contourne une barrière que tout le monde s'attendait à voir solide.
Maintenant, comment savoir pourquoi Safari n'a pas signalé le site que vous avez mentionné comme étant "mauvais".
Je n'ai supprimé aucun certificat du Mac sur lequel je me trouve et je viens de lancer l'Assistant trousseau pour utiliser l'Assistant certificat (sous l'onglet Accès au trousseau menu -> Assistant de certification -> Ouvrir...
Dans la petite fenêtre de l'autorité de certification, sélectionnez Continuer, puis Afficher et évaluer, puis Afficher et évaluer les certificats, puis Continuer.
![enter image description here]()
Comme vous pouvez le constater, https://as.digid.nl/ sert quatre certificats dans la chaîne de confiance :
- nom du certificat - type - empreinte SHA1 - statut
- as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - invalide en raison d'une incompatibilité de nom d'hôte (erreur inoffensive - l'outil évalue ce cert pour votre mac et mon mac n'est pas as.digid.nl)
- DigiNotar PKIoverheid CA Government and Business - intermédiaire - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valide
- État du gouvernement néerlandais CA - intermédiaire - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valide
- Staat der Nederlanden Racine CA - Racine - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - valide
![enter image description here]()
Dans votre question, vous avez indiqué que vous aviez supprimé la clé racine - si c'est le cas, soit votre Safari met en cache les anciennes valeurs, soit, lorsque vous avez regardé, ce site avait un certificat SSL différent de celui que j'ai vu dans cette réponse. Vous devrez reproduire les étapes que je viens de suivre pour voir ce qui est le cas.
Dans mon cas, je n'ai eu qu'à marquer le Staat der Nederlanden Root CA Le certificat racine est considéré comme non fiable pour que Safari s'arrête et affiche ce message lorsque vous chargez le site.
![enter image description here]()
![enter image description here]()
Étant donné que toute la presse ne parle que de la DigiNotar Root CA comme étant mauvaise, je vais annuler ma décision de ne pas faire confiance à la Staat der Nederlanden Root CA .
Je vais marquer le DigiNotar Root CA Il faut donc attendre de voir ce que fera Apple. Si vous vous intéressez à ce genre de choses, surveillez le site Web d'Apple. Sécurité d'Apple page.
