Netlock tanúsítványok miért kerültek ki a Debianból?

 ( gee | 2017. május 26., péntek - 14:44 )

Épp csomagokat frissítettem a gépemen, és megakadt a szemem ezen:

ca-certificates (20141019+deb8u2) stable; urgency=medium
  Update Mozilla certificate authority bundle to version 2.9.
    The following certificate authorities were removed (-):
    - "NetLock Business (Class B) Root"
    - "NetLock Express (Class C) Root"
    - "NetLock Notary (Class A) Root"
    - "NetLock Qualified (Class QA) Root"
 -- Michael Shuler - Fri, 18 Nov 2016 09:09:47 -0600

Valami miatt simán kikerült a megbízható körből a netlock, vagy csak lecserélték mondjuk a netlock egyik tanúsítványát egy másikra?
(Aminek a listában nem láttam a nyomát, és ha nem korrumpálódott, akkor nem is tudom, mi lenne az értelme).

Illetve a másik az, hogy úgy látom, ez egy tavaly novemberi változás. Azóta visszakerült esetleg?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ezek szerintem régi, expired root CA-k, ez tűnik aktívnak:

$ ls -l /etc/ssl/certs/|grep -i netlock
lrwxrwxrwx 1 root root     48 Nov 11  2016 60afe812.0 -> NetLock_Arany_=Class_Gold=_Főtanúsítvány.pem
lrwxrwxrwx 1 root root     48 Nov 11  2016 988a38cb.0 -> NetLock_Arany_=Class_Gold=_Főtanúsítvány.pem
lrwxrwxrwx 1 root root     83 Sep 20  2013 NetLock_Arany_=Class_Gold=_Főtanúsítvány.pem -> /usr/share/ca-certificates/mozilla/NetLock_Arany_=Class_Gold=_Főtanúsítvány.crt
$ dpkg -l ca-certificates
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name                                                Version                        Architecture                   Description
+++-===================================================-==============================-==============================-============================================================================================================
ii  ca-certificates                                     20161130                       all                            Common CA certificates
$

+1, évek óta a NetLock Gold főtanúsítvánnyal írnak alá.

köszi mindkettőtöknek.

Így már érthető.

Nálunk az egyik ügyfél frissen vásárolt netlockos tanúsítványával fura helyzet állt elő: A safari és a windowsos meg mac-es firefox nem fogadja el. Linuxon és minden máson meg nagyjából ok. Ja, nem, az IOS-eken sem. Nem jártam utána, hogy miért, de ez így vicces.

> frissen vásárolt

Tipp: még nincs rá OCSP válasz. A NetLock-nál újabban szeret (nagyon) lassan frissülni az OCSP szerver. Nézz rá 12-24 óra múlva.

Milyen tanúsítványhibát jelez a Firefox?

Ez nem magyarázza meg, hogy miért csak bizonyos böngészőn jön elő. Pl. azonos ff verzióval egyik platformon ok, a másikon nem.
Ahol hibát dob, ott nem megbízható tanúsítványnak jelzi, és hiányzik valóban a hozzá tartozó fő tanúsítvány. De most nem tudom tesztelni, meg ez nem is a mi dolgunk, majd az ügyfél lejátsza a netlockkal :)

Inkább hívd fel őket, nekem gyanús hogy eltörik a lapat.sh-nal a cron-juk, sokadik hiba már ez náluk mostanában.