Toon posts:

Digid -certificaat niet vertrouwd op Mac

Pagina: 1
Acties:

dinsdag 1 oktober 2024 12:52

Acties:
  • 0 Henk 'm!
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 18-09 14:20

Eagle Creek

Breathing security

Topicstarter
Goedemiddag beste Tweakers,

Op de Mac van moeders is iets opvallends aan de hand. Vandaag bij het inloggen op Digid machtingen gaf Safari de melding dat de site niet vertrouwd wordt. Verder onderzoek leerde dat het Root-certificaat (en daardoor intermediate en end) niet wordt vertrouwd.

Het betreft hier Mac OS Monterey 12.7.6 met de laatste updates. Ik besef mij dat Montery op z'n laatse beentjes loopt maar t/m november 2024 is deze wel ondersteund voor zover ik weet. Op zich zouden de root certificaten automatisch moeten worden bijgewerkt dus dat vind ik opvallend.

Desalniettemin heb ik op Firefox -op dezelfde Mac- gekeken naar de SHA256-hash van het bewuste root certificaat, dit vergeleken met het root-cert van Safari op mijn Mac en in Edge op een Windows pc. Omdat overal de hash overeen komt wilde ik het root-cert aan Safari handmatig toevoegen en zodoende de site accepteren.

Hoewel ik tot driemaal toe dit heb geprobeerd, blijft Safari aangeven het certificaat níet te vertrouwen en de verbinding weigeren. Elke keer krijg ik weer de optie om het toe te voegen maar dit heeft dus geen resultaat.

Is er iets mis met de certificate store of zou er iets anders aan de hand kunnen zijn?

Afbeeldingslocatie: https://tweakers.net/i/lLLR7wFrpz5MGqapAm_AbMCOdHQ=/232x232/filters:strip_exif()/f/image/lLMEl5PmHEruYJTlmlZYvGI4.png?f=fotoalbum_tileAfbeeldingslocatie: https://tweakers.net/i/HdhKIHN4oEAtg2KM9jQN51Ltxe4=/232x232/filters:strip_exif()/f/image/6gu3SDhLO65wDQ29gJoQFZ6G.png?f=fotoalbum_tile

~ Information security professional & enthousiast ~ EC Twitter ~

dinsdag 1 oktober 2024 16:00

Acties:
  • 0 Henk 'm!
  • Archer_VC10
  • Registratie: Oktober 2004
  • Laatst online: 23:56

Archer_VC10

Je kan hier zien welke set certificaten er op die Mac horen te zitten: https://support.apple.com/en-gb/103252

Het certificaat is nog geldig, het zal ook nog wel kloppen, maar het is natuurlijk aan Digid om te beslissen of ze een dergelijk oud certificaat (want dat is het wel) blijven vertrouwen. Blijkbaar dus niet meer.

dinsdag 1 oktober 2024 18:41

Acties:
  • 0 Henk 'm!
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 18-09 14:20

Eagle Creek

Breathing security

Topicstarter
Archer_VC10 schreef op dinsdag 1 oktober 2024 @ 16:00:
Je kan hier zien welke set certificaten er op die Mac horen te zitten: https://support.apple.com/en-gb/103252

Het certificaat is nog geldig, het zal ook nog wel kloppen, maar het is natuurlijk aan Digid om te beslissen of ze een dergelijk oud certificaat (want dat is het wel) blijven vertrouwen. Blijkbaar dus niet meer.
Wat bedoel je precies met "het is aan Digid om te beslissen of ze het vertrouwen"? Digid publiceert het certificaat en gebruikt het voor de TLS-verbinding. Lijkt me dus wel dat ze het vertrouwen :?

~ Information security professional & enthousiast ~ EC Twitter ~

dinsdag 1 oktober 2024 19:27

Acties:
  • 0 Henk 'm!
  • Archer_VC10
  • Registratie: Oktober 2004
  • Laatst online: 23:56

Archer_VC10

Sorry, misschien draai ik dingen om. Ik heb je post nog eens gelezen en ik zie dat het juist Safari is die Digid niet wil pruimen. Je hebt wel te maken met een oude OS versie en een site die misschien nieuwere beveiliging vraagt…. Het zou mij niet verbazen als de kern van het probleem daar zit, maar voor de oplossing (anders dan upgraden) kan ik je helaas niet verder helpen.

dinsdag 1 oktober 2024 21:22

Acties:
  • 0 Henk 'm!
  • dfijma
  • Registratie: Juni 2009
  • Laatst online: 22:55

dfijma

Zie je het cert zitten als je naar 'Keychain Access / System Roots" gaat? Ik hier wel, met idd de SHA-256 fingerprint die jij ook noemt.

Een hele erge far cry: het cert is zo te zien geldig vanaf 6 februari 2017. Het is toch niet zo dat de klok van die oude Mac van je moeder op heel foute datum < 6/2/2017 staat?

woensdag 2 oktober 2024 12:09

Acties:
  • +1 Henk 'm!
  • RagingAardvark
  • Registratie: Juni 2015
  • Laatst online: 18:14

RagingAardvark

Zoals vorige commenter aangaf: open KeyChain Access, filter op de term "certsign" en controleer of "certSIGN ROOT CA G2" er tussen staat.

Ik heb nog een oude Macbook met Monterey, nog bijgewerkt met de laatste patches beschikbaar voor Monterey, en in diens Keychain staat enkel "certsign ROOT CA" (dus zonder "G2"). Verklaarbaar dus dat het huidige servercertificaat van digid.nl niet wordt vertrouwd.

Je kunt kijken of je het G2 root certificaat kunt importeren, dan zou het probleem opgelost moeten zijn. Een andere oplossing zou kunnen zijn een andere browser gebruiken, zoals Firefox, voor digid-handelingen.

[ Voor 20% gewijzigd door RagingAardvark op 02-10-2024 12:12 ]

woensdag 2 oktober 2024 12:17

Acties:
  • 0 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

Zo te zien gebruikt digid.nl meerdere reverse proxies. Ik krijg zelf een CERTSIGN SA certificaat dat geldig is tot 8 mei, 2025. Volgens sslchecker.com hebben ze een certificaat dat geldig is tot 18 juni, 2025.
Van ssllabs.com krijgen ze een A+, maar sslchecker geeft aan dat het root certificaat dat bij het DigiCert CA G2 certificaat hoort mist;
Afbeeldingslocatie: https://tweakers.net/i/Shp4YqRVokyROMEexcW0vJc1PJo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/ttwUUqIruL0LSUT8o5xLqMRP.png?f=user_large

Klinkt dus alsof MacOS het ene root certificaat niet kent, en het andere wel, en afhankelijk van welke proxy je mee verbonden wordt kun je dus een foutmelding krijgen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq