ca-certificates teils veraltet - Guter weg, die neusten Intermediates importieren?

[Schroeffu]

Ahoi Zusammen,

Ich setze aus politischen Gründen für einen Proxy-Dienst zwar Ubuntu Server ein, es teilt sich aber die Problematik (bzw. das Paket) mit Debian. Nun versuche ich hier mein Glück.

Das Paket ca-certificates (https://packages.debian.org/de/sid/ca-certificates bzw https://launchpad.net/ubuntu/+source/ca-certificates) liefert Root-Zertifizierungsstellen, mir geht es hingegen um die (neusten) Intermediates (Brückenzertifikate). Das Paket ist entweder veraltet oder liefert keine Intermediates, zumindest fehlen stand Heute viele Intermediate-Zertifikate. Das Paket wurde zuletzt aktualisiert April 2018, etwas aktuelleres finde ich nirgends.
Derzeit fehlt zum Beispiel:

- AlphaSSL CA - SHA256 - G2
- Thawte EV RSA CA 2018
- COMODO RSA Domain Validation Secure Server CA

Und das sind nur diejenigen, die mir aufgefallen sind. Wie bekomme ich also die neusten, vertrauenswürdigen Intermediate-Zertifikate auf mein Debian/Ubuntu? Gibt es weitere (vertrauenswürdige) Pakete, die aktueller gepflegt werden? Oder sollte man gar Firefox/Chrome installieren und den Truststore von denen nutzen? Denn was mir aufgefallen ist, Chrome/Mozilla fügen diese fehlenden Intermediate Zertifikate inzwischen auch in deren Truststore hinzu. Das Beispiel Thawte EV RSA CA 2018 ist dort drin, gefunden in Firefox 62.0.3 (Windows). Vermutlich fügt Mozilla/Google diese Intermediates eben hinzu, weil es sonst zu Fehlermeldungen kommt bei falsch eingerichteten SSL Sites.

Warum ich diese Intermediates so unbedingt brauche? Weil nach wie vor viele Administratoren vergessen, in deren .PEM auch das Intermediate mit einzufügen. Bei einem Proxy-Dienst mit Man-in-the-Middle für Virenscanning (SSL Bump nennt SQUID das z.B., ich nutze hingegen E2Guardian mit MITM) führen solche Websiten zu Fehlermeldungen und werden vom Proxy-Dienst gesperrt, weil eben der Proxy-Server dem Intermediate nicht vertraut. Weil der Admin es versäumt hat, das Intermediate ins PEM zu tun. Was leider immer öfters passiert. Logisch, denn SSL wird ja auch immer öfters eingesetzt, die Fehlerquote beim Einrichten steigt also auch.

Bin auf alle Antworten gespannt und froh,
beste Grüsse
Schroeffu

[rendegast]

Ein wish-Bugreport an die Maintainer des Pakets?

[mtheiss]

Das Beispiel Thawte EV RSA CA 2018 ist dort drin, gefunden in Firefox 62.0.3 (Windows). Vermutlich fügt Mozilla/Google diese Intermediates eben hinzu, weil es sonst zu Fehlermeldungen kommt bei falsch eingerichteten SSL Sites.

Hallo,

nein, das tun sie nicht. Intermediate Zertifikate werden vom Browser nur hinzugefügt, wenn sie von einer Seite geliefert wurden und es einen validen Pfad bis zum Root gibt.
Das sieht man auch am Speicherort des Zertifikats.

Thawte EV RSA CA 2018 steckt bei mir z.B. im "Software Security Device"
DigiCert High Assurance EV Root CA steckt in "Builtin Object Token"

Eigentlich müsstest du deinen Proxy dazu bringen, den neue Intermediatezertifikate on-the-fly zum Trust hinzuzufügen, wenn der ausstellenden Quelle vertraut wird.

Gruss
Martin

[Schroeffu]

nein, das tun sie nicht. Intermediate Zertifikate werden vom Browser nur hinzugefügt, wenn sie von einer Seite geliefert wurden und es einen validen Pfad bis zum Root gibt.
Das sieht man auch am Speicherort des Zertifikats.

Sehr interessant, das war mir nicht bewusst. Der Proxy (E2Guardian mit MITM, in diesem Fall nicht Squid SSLBump) ist leider nicht so schlau die Intermediates automatisch hinzuzufügen.
Ich habe als Zwischenlösung eine Liste aller vertrauenswürdigen Intermediate Zertifikate bei Mozilla gefunden, werde täglich ge-updated: https://wiki.mozilla.org/CA/Intermediate_Certificates

Das ganze kann man mit awk & co in einzelne Files zerstückeln und dann in /usr/local/share/ca-certificates(/custom_intermediate_CAs/xx*.crt) ablegen und aktivieren (/usr/sbin/update-ca-certificates). Zb:

Code: Alles auswählen

 cd /tmp
 wget https://ccadb-public.secure.force.com/mozilla/PublicAllIntermediateCertsWithPEMCSV
 awk 'C==1 && ! /END CERTIFICATE/ {print $0} /BEGIN CERTIFICATE/{C=1; print "-----BEGIN CERTIFICATE-----"} /END CERTIFICATE/{C=0; print "-----END CERTIFICATE-----"}' PublicAllIntermediateCertsWithPEMCSV > Mozilla_Intermediates_all.pem
 
 csplit -z Mozilla_Intermediates_all.pem /BEGIN/ {*}
 
 for f in *; do mv "$f" "$f.crt"; done

So oder so ungefähr. Falls tatsächlich jemand einmal ähnlichen Bedarf hat, e voilà.
Naja, das ganze ist an sich ein unschöner Overkill, u.a. auch weil die Revoked CAs nicht Berücksichtigt werden in diesem Fall. Wir reden hier von 3200+ Intermediate CAs.

$/usr/local/share/ca-certificates$ ls -rtlha intermediate_ca_list/ | wc -l
3270