[Nlnog] x509 expired certificaat op Mac OS breekt verify

Arjan van der Oest arjan at vanderoest.net
Thu Apr 23 11:36:54 UTC 2009


Paul,

2009/4/23 Paul van Brouwershaven <p.vanbrouwershaven at networking4all.com>:
> Hoi Arjan,
>
> Dit certificaat is een zelf signed certificaat gebaseerd op md5, daar er geen gebruik gemaakt wordt
> van een trusted root kan dit certificaat enkel worden vertrouwd door het certificaat zelf in de root
> store op te nemen.

Klopt, was destijds ook de bedoeling.

> Een certificaat met de naam snakeoil wordt vaak aangemaakt door de leverancier van een product als
> een soort placeholder.

Oh, iemand-wiens-naam-wij-hier-niet-hardop-zullen-noemen (*pets*)
refereerde aan de term snakeoil als het om selfsigned CA certificaten
ging.

> - Waar wil je het certificaat voor gaan gebruiken?

Nergens meer voor, het is legacy.

> - Hebben jullie een interne CA draaien?

Destijds, voor de test, ja.

> - Maak je gebruik van een standaard root store of heb je deze zelf samengesteld?

enoclue, onze $vendor had een server certificaat nodig en kwam met een
cert uitgegeven door deze CA op de proppen. Het ding is legacy nu en
vervangen door een goed exemplaar, uitgegeven door Comodo. Echter, de
applicatie die dit server certificaat checkt doet dit tegen een eigen
CA file met hierin (behalve een groot aantal formele root
certificaten) oa dit certificaat. Ja, het kan eruit en nee we
gebruiken het niet meer. Het viel me alleen op dat OpenSSL onder
windows wel in staat was om het server certificaat te valideren tegen
het juiste root certificate en dat OpenSSL onder Mac OS blijkbaar
problemen heeft met dit legacy root certificaat. Ik was eerst bang dat
het kwam omdat hij expired was, maar dat lijkt niet de issue,
aangezien er in de CA file nog meer expired root's zitten en OpenSSL
hier niet over barft.

Ik zoek gewoon de reden dat dit rootcert de hele boel blokkeert,
aangezien ik bang ben dat we er laten bij een ander certificaat
mogelijk ook tegenaan zullen lopen. Ik ben uberhaupt al niet blij met
het feit dat $vendor een eigen CA file met een compilatie root
certificaten hanteert, waarom niet gewoon de standaard certificaten
gebruiken die in de windows certificate store zitten?

Arjan




More information about the NLNOG mailing list