Firefox tanúsítványok kezelése

Web, mail, IRC, IM, hálózatok

Kedves Tapasztalt Fórumtársak!

Adott egy Firefox 16.0.2 (up to date), Slackware 13.37-en, mint böngésző.

Adott az Óbudai Egyetem neptun szervere (oktatói beléptető oldal) vagy a Műegyetem:
https://neptun.uni-obuda.hu/oktato/login.aspx
https://www.kth.bme.hu/

Az oldalak adatai (Ctrl-I) között megtalálható, hogy a szerverek tanúsítványát a TERENA SSL CA bocsátotta ki.

A böngészőben a tanúsítványok között (Authorities) szerepel a TERENA SSL CA (The Usertrust stb. alatt), csakhogy - kísérletképpen - az Edit trust ablakban megbízhatatlannak nyilvánítottam. NINCS pipa a "This certificate can identify web sites" előtt (sem).

Egyik szerver SEM szerepel a kivételezett szerverek listájában (Authorities mellett), értelemszerűen.

Ilyen helyzetben azt várnám, hogy az oldal betöltése előtt/helyett a FF egy figyelmeztetést dob, miszerint a kiszolgáló tanúsítványát NEM tudta ellenőrizni, illetve hogy az megbízhatatlan. Ehelyett simán betölti mindkét oldalt.

Hogyan lehetséges ez?

Üdvrivalgással:
KEA.

  • 2863 megtekintés

( mauzi v | 2012. 11. 07., sze – 19:00 )

Ha megnézed a titkosított weboldalt, és ráböksz a tanúsítványnál a "More Information" gombra, majd pedig megnézed a teljes tanúsítványláncot (Security -> View Certificate -> Details -> Certificate chain) akkor ott mindegyik tanúsítvány mellett ott van a Trust?

( Chas | 2012. 11. 07., sze – 19:00 )

Szia!
A történet annyi, hogy a kulcshierarchiát ha megnézed, a *.uni-obuda.hu kulcsa a részletekben kiterjesztett kulcshasználatot kapott, és TLS webkiszolgáló-hitelesítésre és TLS webügyfél-hitelesítésre használható. A felettes kulcsok pedig mind aláíró kulcs, tehát az oldalak ezzel a kulccsal hitelesek.
Ezért nem fog kiabálni a FF (és nem is lenne szabad neki).

A lánc így néz ki:
-AddTrust External CA Root
-- UTN-USERFirst-Hardware
--- TERENA SSL CA
----*.uni-obuda.hu

És pesze nyilván rendben van minden tagja. De "megbízhatónak lenni" tranzitív reláció, nekem meg szívem joga (legalább egy kísérlet erejéig) nem elhinni, hogy a TERENA korrekt. Ha tehát beállítom a böngészőnek, hogy ez a cert NEM megbízható számomra, akkor a bizalmi láncban igenis szakadás támadt, és tök mindegy, hogy kik állították a TERENA-ról, hogy ő megbízható.

Ad absurdum, ha üldözési mániám van, és egyetlen CA-t sem fogadok el, hanem az általam használt helyek cert-jeit magánúton és egyénileg akarom ellenőrizni, és azt szeretném, hogy a böngésző hörögjön minden más esetben, akkor ezt nem tehetem meg?? Akkor minek az "Edit trust"? Pontosabban: miért kell az egész láncot megbízhatatlannak nyilvánítanom a kívánt "eredmény" elérése érdekében?

ui.: Az üldözési mánia önmagában még nem garancia arra, hogy valójában nem üldöznek;)

Üdv:
KEA.