Cada sitio que compruebo que he configurado manualmente como no fiable muestra una advertencia. Tal vez las cosas están cambiando en los servidores tan rápidamente, que diferentes personas que realizan las mismas acciones están viendo resultados diferentes.
Dejemos a un lado el concepto de lista negra en general y revocación del certificado como (CRL) o verificación en línea como OCSP y simplemente desmenuzar el mecanismo de los certificados SSL en el navegador. Voy a dejar de lado Chrome / Firefox / otros navegadores y sólo se centran en Safari y el llavero de Mac, ya que es problema suficiente para este post.
La respuesta corta es que el sitio que usted enumera no depende del único certificado que se utilizó de una manera que ha causado que la prensa publique todas las historias de la lista negra.
Se utilizó para firmar certificados que coincidían con cualquier cosa que terminara en google.com y se vieron en uso en sitios que ciertamente no eran de google. Esto es el equivalente tecnológico a alguien construyendo túneles en la cámara acorazada de un banco. No planes para hacer un túnel, sino un túnel real que funciona alrededor de una barrera que todo el mundo esperaba que fuera sólida.
Ahora, cómo saberlo por qué Safari no ha marcado como "malo" el sitio que has indicado.
No he borrado ningún certificado del mac en el que estoy y acabo de encender el Asistente de Llaveros para utilizar el Asistente de Certificados (bajo el Acceso al llavero menú -> Asistente de certificación -> Abre...
En la ventana pequeña de la CA, seleccione continuar, luego Ver y evaluar, luego Ver y evaluar certificados, luego continuar.
![enter image description here]()
Como puede ver ahora, https://as.digid.nl/ está sirviendo cuatro certificados en la cadena de confianza:
- nombre del cert - tipo - huella SHA1 - estado
- as.digid.nl - SSL - 2D F7 4E 54 00 90 80 08 01 0A 2F 3E 5A EE BE 36 5F EC 82 F3 - invalid due to host name mismatch (harmless error - the tool evaluates that cert for su mac y mi mac no es as.digid.nl)
- DigiNotar PKIoverheid CA Overheid en Bedrijven - intermediate - 40 AA 38 73 1B D1 89 F9 CD B5 B9 DC 35 E2 13 6F 38 77 7A F4 - valid
- Staat der Nederlanden Overheid CA - intermediate - 29 FC 35 D4 CD 2F 71 7C B7 32 7F 82 2A 56 0C C4 D2 E4 43 7C - valid
- Staat der Nederlanden root CA - root - 10 1D FA 3F D5 0B CB BB 9B B5 60 0C 19 55 A4 1A F4 73 3A 04 - válido
![enter image description here]()
En tu pregunta decías que habías borrado la clave Root - si es así, o tu safari está guardando en caché los valores antiguos o cuando miraste, ese sitio tenía un certificado SSL diferente al que he visto al hacer esta respuesta. Tendrás que reproducir los pasos que acabo de dar para ver cual era el caso.
En mi caso, sólo tuve que marcar el Staat der Nederlanden root CA Certificado root como no fiable para conseguir que Safari se detenga y muestre este mensaje al cargar el sitio.
![enter image description here]()
![enter image description here]()
Dado que toda la prensa es específica sobre sólo el CA root DigiNotar como malo, voy a deshacer mi cambio de no confiar en el Staat der Nederlanden root CA .
Voy a marcar el CA root DigiNotar como para no fiarse nunca y esperar a ver qué hace Apple. Si le interesan este tipo de cosas, siga de cerca la Seguridad de Apple página.
