Apple v honbě za rychlostí a optimalizací trochu pozapomněl na bezpečnost. Nepovolil totiž online ověřování platnosti certifikátů (to je povoleno je u EV certifikátů) a tak se může stát, že certifikát bude vám může být podvržen podrobněji k teorii viz článek Když https protokol není bezpečný. Podívejme se však na košatý strom praxe a nastavme si bezpečnější chování prohlížečů v Mac OS X.
Ve výše zmíněném případu, byla platnost falešně vydaných certifikátů pozastavena a jak Google, Microsoft i Mozilla upravily své prohlížeče tak, aby těmto certifikátům nedůvěřovala. Apple však prozatím neudělal nic, což by mohlo být v pořádku, pokud by vše fungovalo s právně s kontrolou bezpečnosti certifikátů.
Situaci na Macovi komplikuje fakt, že OCSP a CRL kontrola platnosti certifikátů je v Mac OS X zrušena, vyjma certifikátů s Extended Validation "EV"). Tu je třeba zapnout. Ačkoliv nehrozí veliké riziko ze zneužití certifikátů ze společnosti Comodo, je stále dobré mít tuto kontrolu zapnutou. Pod Mac OS X 10.6 to uděláte následovně.
- Klepněte do pravého horním rohu obrazovky (tam kde je Spotlight hledání) a vepište tam "Keychain Access"
- Klepněte na enter, čímž se právě označená aplikace Keychain Access spustí.
- V aplikaci Keychain Access si vyberte "Preferencess ..." (Předvolby)
- Vyberte si záložku "Certificates" (Certifikáty)
- Nastavte "Online Certificate Status Protocol (OCSP)" na "Best Attempt"
- Nastavte "Certificate Revocation List (CRL)" na "Best Attempt"
- Nastavte "Priority" na "OCSP"
- Výsledek by měl vypadat jako na obrázku zde. Pak již jen stačí uzamknout keychain a ukončit aplikaci.
Toto vyřeší ověřování certifikátu pro Safari a Chrome, protože oba využívají služeb Keychains. Firefox má vlastní úložiště certifikátů a měl by mít nastaven pro využívání OCSP od začátku.
- Ve Firefoxu si vyberte Preferences .. (Předvolby)
- Klepněte na záložku Advanced ... (Rozšířené)
- Vyberte si podzáložku Encryption (Šifrování)
- Klepněte na tlačítko Validation (Ověřování)
- Překontrolujte, zda je nastavena volba "Validate a certificate if it specifies an OCSP server"
- Nejsprávnější a nejbezpečnější možností je také nastavení volba "When an OCSP server connection fails, treat the certificate as invalid." (Pokud se připojení k OCSP serveru nezdaří, považovat certifikát za neplatný.). Důsledkem této volby je, že Firefox bude striktně vyžadovat, aby se mohl spojit se serverem a ověřit si certifikát. Pokud to nemůže provést, bude certifikát vyhodnocen jako neplatný a vy se nebudete moci připojit. Certifikát bude vyhodnocen jako neplatý i v případě, že server certifikační autority nebude přístupný (například z důvodu údržby) a tak nastavení může vyhlašovat falešné upozornění. Na druhou stranu, nikdo vám nebude moci podstrčit neplatný certifikát.
- Nastavení podle tohoto obrázku, tak nastaví bezpečnější ověřování certifikátů.
Pakliže máte vše správně nastaveno, navštívení stránky https://test-sspev.verisign.com:2443/test-SSPEV-revoked-verisign.html způsobí chybu v prohlížeči a oznámí vám, že stránka obsahuje certifikát se zrušenou platností.
Jedinou nevýhodou tohoto nastavení je lehké zpoždění nahrávání stránek, využívajících certifikátů, protože prohlížeč bude vždy ověřovat platnost certifikátu a tedy se musí spojit se serverem certifikační autority.
