Topic: Fraudulent *.google.com Certificate

[Underpass]

Jooliaan, ma hai provato a lanciare di nuovo Firefox e vedere se per caso il certificato non è sempre lì...?

[michro]

Al link che aveva messo jooliaan nell'altra sezione del forum
http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/

c'è scritto

Users can also manually disable the DigiNotar root through the Firefox preferences.

quindi se questo è vero, il certificato viene solo "disattivato" (altrimenti credo avrebbero scritto "uninstall") o no?

Per klades: queste sono le finestre con relative voci su Mac e la mia situazione
http://users.gxware.org/mozillaitalia/?v=certificato1jyj.png

dopo aver fatto clic su "Elimina...ecc" si apre questo
http://users.gxware.org/mozillaitalia/?v=certificato2.png

Dopo aver dato gli ok, andando in "Modifica impostazioni attendibilità" ecco la situazione
http://users.gxware.org/mozillaitalia/?v=certificato3.png
tutto deselezionato.

Presumo quindi che questo sia il comportamento corretto... o no?

[Faus-74]

Idem per me, il certificato resta lì.

Mozilla/5.0 (Windows NT 5.1; rv:6.0) Gecko/20100101 Firefox/6.0

[gialloporpora]

Comunque, onde ci siano fraintendimenti, perché quel certificato sia utilizzabile ci deve essere il DNS truffaldino che reindirizza il ping, se non c'è basta guardare l'url, e,  i DNS in Italia non vengono gestiti dalla polizia di  Ahmadinejad.

Detto questo, Chrome stavolta ci fa un figurone, visto che, grazie a un suo sistema interno, con Chrome era possibile accorgersi della contraffazione (a prescindere dal fatto che la CA validasse il certificato).

[michro]

Grazie gialloporpora

Avevo aperto la questione nella discussione relativa all'articolo di supporto di mozilla e un utente mi ha risposto che

Codice: [Seleziona]

It doesn't seem to vanish, but if you choose "Edit Trust…" on the certificate, every checkbox is deactivated. I tried it on https://diginotar.com/ and their certificate is not trusted.
Sono andato al link indicato e compare l'avviso che la connessione non è affidabile. Quindi da quel che capisco la disattivazione ha avuto l'effetto voluto.

Credo però che a questo punto l'articolo di Sumo andrebbe modificato (anche se da quel che ho inteso verranno rilasciati degli aggiornamenti di versione di Firefox che correggono questo problema). Io intanto segnalo nella discussione dell'articolo

[jooliaan]

Jooliaan, ma hai provato a lanciare di nuovo Firefox e vedere se per caso il certificato non è sempre lì...?

Sì, e di più non so che dire...



Ciao

[michro]

jooliaan sei un mago

Ho segnalato il tutto a Michael Verdi che ha modificato/integrato l'articolo (non so se sia il caso di tradurlo in italiano...).

Questa l'integrazione:

Codice: [Seleziona]

Because the certificate is "built-in" it will be distrusted but not deleted. Distrusting the certificate has the same effect as deleting it.

[jooliaan]

jooliaan sei un mago

Per così poco? Naaa, vedo magie di ben altro spessore in questo forum...

[Faus-74]

Quindi per noi che non riusciamo a cancellare quella "roba", che dobbiamo fare?
Capito nulla io   

[gialloporpora]

Fare quello che c'è scritto sul link, poi visiti il link che ti ha dato @michro:
https://diginotar.com

se ti appare un warning di  certificato errato sei a posto.

Come già detto, comunque, usi un DNS iraniano per caso?

Edit by Godai71: Reso link inattivo

[Iceberg]

Allora in questo pc non ho toccato nulla.
Il certificato Diginotar attivo era e attivo l'ho lasciato, con due delle tre caselline attive.
Ho visitato il link presente nel precedente messaggio di gialloporpora.
E mi appare un avviso di connessione non affidabile: È stata richiesta a Firefox una connessione sicura con diginotar.com, ma non è possibile confermare la sicurezza del collegamento.

Che vuol dire?
Che il problema è stato già in qualche modo ingabbiato?

[gialloporpora]

Allora,
a diginotar gli devono aver attaccato il sito, sicuramente è successo qualcosa.

L'errore che ricevi dovrebbe essere diverso nei due casi, in quanto il certificato di DigiNotar (sito non della CA) ha un errore esso stesso:

Codice: [Seleziona]

Il certificato non è valido per alcun nome server.
(Codice di errore: ssl_error_bad_cert_domain)

(è come se in un passaporto si dimenticassero di mettere il nome, nemmeno arrivano a controllarti chi te lo rilasciato e ti bloccano subito, anche se tutto il resto è in regola)

mentre se si è messo nelle eccezioni l'errore è:

Codice: [Seleziona]

Il certificato non è attendibile in quanto il certificato dell'autorità emittente non è attendibile.
(Codice di errore: sec_error_untrusted_issuer)


A me il messaggio sembra chiaro, come chiaro è che questa CA olandese ha fatto una figura barbina
Ciao

[Ronnie91]

E' uscito Firefox 6.0.1, il certificato dopo l'aggiornamento rimane (ho solo chiuso e riavviato Firefox, non ho riavviato anche il pc...), però se poi provi ad eliminarlo, si elimina...

[michro]

Contestualmente è uscito Firefox 3.6.21

Controllando sul Mac che sto utilizzando con questa versione di Firefox risulta che dopo l'aggiornamento il certificato non è presente nell'elenco e quindi non ho dovuto effettuare nessun tipo di eliminazione.

Più tardi verificherò sull'altro Mac con aggiornamento alla 6.0.1

[Ronnie91]

Può dipendere dal fatto che non ho fatto l'aggiornamento automatico ma l'ho aggiornato installandolo sopra con l'installer?