Fórum Root.cz

Hlavní témata => Software => Téma založeno: Wasper 12. 05. 2023, 20:25:44

Název: iOS 16 a non-trusted intermediate CA
Přispěvatel: Wasper 12. 05. 2023, 20:25:44

Zdravím,
rád bych se zeptal, jestli někdo nemáte zkušenost s následujícím problémem.
Mějme privátní CA, dejme tomu ca.moje.org - ta je importnuta do trust store, a je označena jako trusted root CA (Settings - General - About - Certificate trust setting).
Mějme web, podepsaný touhle CA - řekněme web.moje.org. Ten funguje v Safari perfektně.

A pak mějme nějakou proxy, která přebaluje SSLko. Proxy dostala vlastní CA certifikát, dejme tomu squid.moje.org. Když vlezu odkuďkoli na třeba root.cz, tak je vše v pořádku, trust path je následující:

ca.moje.org -> squid.moje.org -> root.cz

Problém je, že to funguje odevšuď, z Win, z Linuxu, dokonce včetně star39ho iPhone s iOS15, ale ne v iOS16, ten mě tvrdohlavě tvrdí, že "not trusted" a já nemůžu přijít na to proč (on to nepoví). Standardní hledání po netu nikam nevedlo, odpovědi jako "nastav tomu trusted" moc nepomáhají když to evidentně trusted je (viz ten test s web.moje.org).
Pokud ale vygeneruju pro squid samotnou self-signed CA a tu importnu, tak to ale začne fungovat.

Nemáte prosím někdo s tímhle zkušenost? Nějaký chybějící nebo přebývající attribut/extension?

Název: Re:iOS 16 a non-trusted intermediate CA
Přispěvatel: M_D 12. 05. 2023, 22:05:06

Co máš v X509v3 Authority Key Identifier toho root.cz? Je tam DirName ukazující na tu root CA ca.moje.org+její serial nebo jen keyid té squid.moje.org?
Ale bez tohoto by mělo asi řvát i vše ostatní.
V mluvě OpenSSL x509v3_config:
authorityKeyIdentifier = keyid, issuer:always

Název: Re:iOS 16 a non-trusted intermediate CA
Přispěvatel: Wasper 12. 05. 2023, 22:44:12

Citace: M_D  12. 05. 2023, 22:05:06

Co máš v X509v3 Authority Key Identifier toho root.cz? Je tam DirName ukazující na tu root CA ca.moje.org+její serial nebo jen keyid té squid.moje.org?
Ale bez tohoto by mělo asi řvát i vše ostatní.
V mluvě OpenSSL x509v3_config:
authorityKeyIdentifier = keyid, issuer:always

Hmm, diky, dobry hint, jdu si hrat

V koncovem certu je jen authorityKeyIdentifier = KeyID (sedi)

u intermediatky:
authorityKeyIdentifier = keyid:always, issuer:always
a je v ni Dirname, KeyID i Serial (a sedi)
subjectKeyIdentifier = keyid

Název: Re:iOS 16 a non-trusted intermediate CA
Přispěvatel: Vít Šesták (v6ak) 28. 05. 2023, 15:13:50

Posílá se i ten intermediate certifikát? Pokud ne, může nastat pěkný nepořádek:

* Někdy to prohlížeč přijme, protože tu intermediate CA už někdy viděl a zapamatoval.
* Někdy to stejná verze prohlížeče odmítne, protože tu intermediate CA ještě neviděl.
* Některé prohlížeče se chovají více deterministicky a odmítají certifikát bez celého chainu, i když tu intermediate CA již někdy viděly.

Název: Re:iOS 16 a non-trusted intermediate CA
Přispěvatel: jjrsk 30. 05. 2023, 20:50:55

Najdi si pozadavky na duveryhodny cert (vali se to nekde na jejich webu) ... jabka sou proste jabka ... a pocitej s tim, ze se to zhorsi.

Moje zkusenosti (firemni CA) = nekterym jabkum staci importovat CA cert jako duveryhodny, a pak uz drzi pysk. Ovsem nekterym jinym musis tak jako tak extra importovat certifikaty jednotlivych sajt. A i to vse za predpokladu, ze ten tvuj certifikat splnuje ty jejich pozadavky. Tzn zapomen ze bude platny 2 roky treba ...

Tudiz pokud se pohybujes v te druhe variante, tak se obavam, ze ti neni pomoci, protoze tohle s proxy nijak nevyresis.