Autore Topic: Diginotar - Che fare ? (Letto 818 volte)

chicchio · « **il:** 10 Gennaio 2015 09:56:03 »

Salve a tutti !

Attirato dalla curiosità per la nuova vita di un vecchio post, sono andato a curiosare tra i certificati in Firefox, e ho trovato i certificati Diginotar.
Anche l'elenco di Windows 7 li ha, nella sezione certificati non disponibili nell'elenco locale, e nelle proprietà appaiono come revocati, come anche nel gestore certificati appaiono non trusted.
Che faccio ? Li cancello ?

Grazie !

Iceberg · « **Risposta #1 il:** 10 Gennaio 2015 11:16:33 »

Non ho questi certificati.
DigiNotar è defunct dal 20/9/2011.
http://en.wikipedia.org/wiki/DigiNotar
Rimuovili.

Geko · « **Risposta #2 il:** 10 Gennaio 2015 11:44:56 »

Questo è veramente strano : ho appena controllato in Firefox 34 ed alla tabella Preferenze-->Avanzate-->Certificati-->Vedi Certificati-->Servers ho 6 certificati a nome Diginotar, eppure il pacchetto ca-certificates in Ubuntu è stato aggiornato relativamente di recente, ovvero il 7 Febbraio 2014.
Da dove vengono, sono incorporati in Firefox stesso o sono del sistema?
In entrambi i casi non ci dovrebbero essere, o mi sfugge qualcosa?

max1210 · « **Risposta #3 il:** 10 Gennaio 2015 12:13:55 »

Buongiorno.
Idem come sopra, mi ritrovo una serie di questi certificati nonostante l'installazione sia pressoché -nuova-, di fine dicembre.
Quasi certamente me li sono portati dietro copiando i file del vecchio Profilo in questo nuovo. Il Certificato più recente è infatti del 2010.

miki64 · « **Risposta #4 il:** 10 Gennaio 2015 12:44:12 »

Anche io mi ritrovo quei certificati (e anche io me li sono portati da tempo immemore da profili di FF di Windows).
Li cancello o li lascio?

Iceberg · « **Risposta #5 il:** 10 Gennaio 2015 13:17:51 »

In SeaMonkey ho quei certificati, sono però tutti etichettati (tutto il gruppo non solo quelli DigiNotar):
Non è possibile verificare questo certificato in quanto non ha ricevuto fiducia da terzi.
oppure:
Non è possibile verificare questo certificato per motivi sconosciuti.
Molti sono scaduti.

Potrebbero essere lì come promemoria: "attenzione non sono validi".

Winfox · « **Risposta #6 il:** 10 Gennaio 2015 14:28:08 »

Ho moltissimi certificati ma quello non l'ho trovato.
C'è un modo per vederne la validità tutti assieme?

Geko · « **Risposta #7 il:** 11 Gennaio 2015 10:53:43 »

Quello che ho notato è che tutti i certificati nella tabella "Servers" (non solo quelli Diginotar) non sono verificabili, leggo

Codice: [Seleziona]

"Could not verify this certificate because is not trusted"oppure

Codice: [Seleziona]

Could not verify this certificate becasue it was signed using a signature algorithm that was disabled becausee that algorithm is not secure

ma allora che ci stanno a fare?

Secondo me non vengono come dice Miki da vecchi profili, mi sembrano gli stessi anche in profili nuovi.

Dato che ci siamo, quale sarebbe poi la differenza tra certificati Server ed Autorità ?
Mentre i primi come dicevo nel mio caso sembrano tutti non validi , gli altri sembrano OK.

Iceberg · « **Risposta #8 il:** 12 Gennaio 2015 00:01:22 »

Prendete quanto segue come da confermare.

Nella tabella server sono elencati i certificati della Certificate revocation list e quelli insicuri autorizzati dall'utente.
http://it.wikipedia.org/wiki/Certificate_revocation_list
Guardando la precedente immagine postata da @miki64, se nella colonna server c'è un asterisco non portano a nulla. Revocati o non validi e rifiutati. Se c'è scritto un indirizzo pur non essendo validi l'utente li ha autorizzati.

chicchio · « **Risposta #9 il:** 12 Gennaio 2015 08:09:24 »

Iceberg, grazie per il chiarimento.

Quindi: i certificati Diginotar sono revocati, non fanno danni, stanno lì buoni buoni.
Possono essere cancellati ? Credo di sì, ma mi farebbe piacere anche qualche altra opinione.

E poi: da dove vengono ? Ho Windows 7 installato ex-novo nel 2013, e per amore di pulizia non ho copiato nel nuovo PC nessun profilo di FF o di TB.

Mah ! Le vie binarie dei files sono infinite... e misteriose !

Iceberg · « **Risposta #10 il:** 12 Gennaio 2015 14:13:36 »

Contraddicendo quanto ho scritto in precedenza forse è meglio non cancellarli.
Se qualcuno oggi prova ad usare uno dei loro certificati Firefox li rifiuta subito, senza dover prima fare verifiche ricerche ed analisi. Il senso della loro presenza in quell'elenco dovrebbe essere questo.
E forse la loro presenza è anche legata a questa parte di questa sentenza:
http://www.diginotar.nl/

Citazione

Om misbruik van de ingetrokken certificaten van DigiNotar te voorkomen is het van belang dat de CRL en OCSP via internet raadpleegbaar blijven. Vanwege het algemeen belang dat hiermee is gemoeid heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties besloten de publicatie in ieder geval tot en met 2015 voort te laten zetten.

Che tradotto, interpretato e riassunto dall'olandese viene fuori:

Codice: [Seleziona]

E' importante che rimangano come CRL fino al 2015.CRL è la sopracitata Certificate Revocation List.

chicchio · « **Risposta #11 il:** 13 Gennaio 2015 08:03:06 »

Grazie per i chiarimenti !
Adesso si capisce anche perchè ci sono, se ho capito bene sono una sorta di "cartello segnaletico"... Una specie di "Wanted - Dead or alive" informatico !
Scusate la spiritosaggine, non ne capisco niente di informatica e mi arrangio...

Geko · « **Risposta #12 il:** 14 Gennaio 2015 18:54:48 »

Grazie Iceberg, quei certificati mi sembravano sospetti ma ora si capisce il senso.

Autore Topic: Diginotar - Che fare ? (Letto 818 volte)

chicchio

Diginotar - Che fare ?

Iceberg

Re: Diginotar - Che fare ?

Geko

Re: Diginotar - Che fare ?

max1210

Re: Diginotar - Che fare ?

miki64

Re: Diginotar - Che fare ?

Iceberg

Re: Diginotar - Che fare ?

Winfox

Re: Diginotar - Che fare ?

Geko

Re: Diginotar - Che fare ?

Iceberg

Re: Diginotar - Che fare ?

chicchio

Re: Diginotar - Che fare ?

Iceberg

Re: Diginotar - Che fare ?

chicchio

Re: Diginotar - Che fare ?

Geko

Re: Diginotar - Che fare ?