Topic: Diginotar - Che fare ?

[chicchio]

Salve a tutti !

Attirato dalla curiosità per la nuova vita di un vecchio post, sono andato a curiosare tra i certificati in Firefox, e ho trovato i certificati Diginotar.
Anche l'elenco di Windows 7 li ha, nella sezione certificati non disponibili nell'elenco locale, e nelle proprietà appaiono come revocati, come anche nel gestore certificati appaiono non trusted.
Che faccio ? Li cancello ?

Grazie !

[Iceberg]

Non ho questi certificati.
DigiNotar è defunct dal 20/9/2011.
http://en.wikipedia.org/wiki/DigiNotar
Rimuovili.

[Geko]

Questo è veramente strano : ho appena controllato in Firefox 34 ed alla tabella Preferenze-->Avanzate-->Certificati-->Vedi Certificati-->Servers  ho 6 certificati a nome Diginotar, eppure il pacchetto ca-certificates in Ubuntu è stato aggiornato relativamente di recente, ovvero il 7 Febbraio 2014.
Da dove vengono, sono incorporati in Firefox stesso o sono del sistema?
In entrambi i casi non ci dovrebbero essere, o mi sfugge qualcosa?

[max1210]

Buongiorno.
Idem come sopra, mi ritrovo una serie di questi certificati nonostante l'installazione sia pressoché -nuova-, di fine dicembre.
Quasi certamente me li sono portati dietro copiando i file del vecchio Profilo in questo nuovo. Il Certificato più recente è infatti del 2010.

[miki64]

Anche io mi ritrovo quei certificati (e anche io me li sono portati da tempo immemore da profili di FF di Windows).
Li cancello o li lascio?

[Iceberg]

In SeaMonkey ho quei certificati, sono però tutti etichettati (tutto il gruppo non solo quelli DigiNotar):
Non è possibile verificare questo certificato in quanto non ha ricevuto fiducia da terzi.
oppure:
Non è possibile verificare questo certificato per motivi sconosciuti.
Molti sono scaduti.

Potrebbero essere lì come promemoria: "attenzione non sono validi".

[Winfox]

Ho moltissimi certificati ma quello non l'ho trovato.
C'è un modo per vederne la validità tutti assieme?

[Geko]

Quello che ho notato è che tutti i certificati nella tabella "Servers"  (non solo quelli Diginotar) non  sono verificabili, leggo

Codice: [Seleziona]

"Could not verify this certificate because is not trusted"oppure

Codice: [Seleziona]

Could not verify this certificate becasue it was signed using a signature algorithm that was disabled becausee that algorithm is not secure ma allora che ci stanno a fare?

Secondo me non vengono come dice Miki da vecchi profili, mi sembrano gli stessi anche in profili nuovi.
 
Dato che ci siamo, quale sarebbe poi la differenza tra certificati  Server ed  Autorità ?
Mentre i primi come dicevo nel mio caso sembrano tutti non validi , gli altri sembrano OK.

[Iceberg]

Prendete quanto segue come da confermare.

Nella tabella server sono elencati i certificati della Certificate revocation list e quelli insicuri autorizzati dall'utente.
http://it.wikipedia.org/wiki/Certificate_revocation_list
Guardando la precedente immagine postata da @miki64, se nella colonna server c'è un asterisco non portano a nulla. Revocati o non validi e rifiutati. Se c'è scritto un indirizzo pur non essendo validi l'utente li ha autorizzati.

[chicchio]

Iceberg, grazie per il chiarimento.

Quindi: i certificati Diginotar sono revocati, non fanno danni, stanno lì buoni buoni.
Possono essere cancellati ? Credo di sì, ma mi farebbe piacere anche qualche altra opinione.

E poi: da dove vengono ? Ho Windows 7 installato ex-novo nel 2013, e per amore di pulizia non ho copiato nel nuovo PC nessun profilo di FF o di TB.

Mah ! Le vie binarie dei files sono infinite... e misteriose !

[Iceberg]

Contraddicendo quanto ho scritto in precedenza forse è meglio non cancellarli.
Se qualcuno oggi prova ad usare uno dei loro certificati Firefox li rifiuta subito, senza dover prima fare verifiche ricerche ed analisi. Il senso della loro presenza in quell'elenco dovrebbe essere questo.
E forse la loro presenza è anche legata a questa parte di questa sentenza:
http://www.diginotar.nl/

Om misbruik van de ingetrokken certificaten van DigiNotar te voorkomen is het van belang dat de CRL en OCSP via internet raadpleegbaar blijven. Vanwege het algemeen belang dat hiermee is gemoeid heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties besloten de publicatie in ieder geval tot en met 2015 voort te laten zetten.

Che tradotto, interpretato e riassunto dall'olandese viene fuori:

Codice: [Seleziona]

E' importante che rimangano come CRL fino al 2015.CRL è la sopracitata Certificate Revocation List.

[chicchio]

Grazie per i chiarimenti !
Adesso si capisce anche perchè ci sono, se ho capito bene sono una sorta di "cartello segnaletico"... Una specie di "Wanted - Dead or alive" informatico !
Scusate la spiritosaggine, non ne capisco niente di informatica e mi arrangio...

[Geko]

Grazie Iceberg, quei certificati mi sembravano sospetti ma ora si capisce il senso.