Bron heeft het volstrekt verkeerd: er is weldegelijk een
certificate chain met GTE Cybertrust als root CA en een
tussenliggende MS certificate authority. Of de bron snapt
niet wat een self-signed cert is...

Waarom zou verisign betrouwbaarder zijn dan Microsoft? Omdat ze geld
vragen voor het certificaat en MS wel eens gratis dingen wegggeeft?

hmpf.
voor deze keer weet ik geen geflambeert antwoordt tegeven.

Di Pablo begrijpt er kennelijk niks van nee.
Leuk is dat dit dus TE eenvoudig is om na te
trekken/controleren...

@Redactie: Dit bericht maar snel verwijderen/rectificeren.

Overigens verbaast 't me dat zo'n blog als bauer-power als
(kennelijk enige) bron gebruikt wordt voor een dergelijk
artikel op security.nl

Het certificaat op https://mcp.microsoft.com ? Ik zie daar toch echt geen chain.. Alleen dat MS zelf 't ding heeft uitgegeven.

Interesting.. Ik had met FF gekeken. Als je met IE kijkt zie je inderdaat GTE als root CA staan. Drie keer raden waar die root CA certificaten in IE vandaan komen...

CA Issuers: URI:
http://www.microsoft.com/pki/mscorp/Microsoft%20Secure%20Server%20Authority(4).crt

en die weer met:
http://www.microsoft.com/pki/mscorp/mswww(3).crt
En daar zie je dus dat ie is uitgegeven door GTE CyberTrust...

Geinig.. In FF zie je dus alleen die Issuer vermelt in het certificaat.
Issuer:
CN = Microsoft Secure Server Authority
DC = redmond
DC = corp
DC = microsoft
DC = com

Authority information Access:
Not Critical
CA Issuers: URI:
http://www.microsoft.com/pki/mscorp/Microsoft%20Secure%20Server%20Authority(4).crt
CA Issuers: URI:
http://corppki/aia/Microsoft%20Secure%20Server%20Authority(4).crt

En meer niet.. Let op die laatste url.. Tikkeltje funky..


Als je in FF dat MS Secure Server Authority certificate ophaalt vraagt FF netjes of je deze vertrouwt en waarvoor. Daarna pas is die hele chain te zien.

SirDice, hier een url met meer
hierover....http://blogs.msdn.com/larryosterman/archive/2004/06/04/148612.aspx

Moet em zelf ook nog es lezen,...maar is dus een bekend
issue. :-)

Aha.. Duidelijk.. Thanks :)

En het is inderdaad geen self-signed certificaat.


Edit: Nog even verder zitten graven..
Interessante discussie over dit "gedrag" (of het gebrek er aan):
https://bugzilla.mozilla.org/show_bug.cgi?id=399324

Haha, aan die discussie van Mozilla kan ik wel toevoegen dat
Opera 9.51 en IE7 beiden dit gedrag niet vertonen.
(net ff getest)
Verder proef ik uit die discussie ook bij Mozilla enige
arrogantie. Het soort arrogantie dat Microsoft vaak ook
(terecht of onterecht) verweten wordt. 't Woord
evangelism komt me net even iets te vaak voor.

Daarnaast heeft de bron dus FireFox gebruikt... :-)

[off topic]Ik mis Nomen Nescio in deze discussie. Nu verdedigen SirDice en ik Microsoft eens een keer met argumenten en feiten en nu is ie er niet! ;-)[/off topic]

Voor de duidelijkheid, de discussie gaat niet over of chained certificates wel/niet verstandig zijn, maar of alle tussenliggende certificaten automatisch door een webbrowser moeten worden opgehaald indien de server ze niet automatisch meestuurt, en of het niet beter is dat de server ze wel automatisch allemaal meestuurt.

[url=https://mcp.microsoft.com/mcp/default.aspx]Deze Microsoft server[/url] stuurt alleen z'n eigen certificaat (dat overigens niet self-signed is). De server stuurt dus niet uit zichzelf de twee benodigde intermediate CA certificaten (waarvan de laatste met het GTE CyberTrust Global Root certificaat uit het 'Trusted Root Certification Authorities' tabblad van 'Internet Options - Content - Certificates' wordt gevalideerd).
Overigens worden die twee intermediate certificaten vanaf IP-adres 207.46.193.254 gehaald (dit gebeurt maar 1x, ze worden meteen permanent in de intermediate certificate store van windows opgeslagen), terwijl de SSL verbinding (en dus het daarbij gebruikte certificaat) plaatsvindt met 131.107.100.156.

Ik vind het geen arrogantie van Mozilla, want bij Microsoft zelf zijn ze het onderling ook niet eens:

[url=http://blogs.msdn.com/card/archive/2008/03/21/cardspace-certificate-chain-validation-issue-with-intermediate-certificates.aspx]Deze blog[/url] beschrijft problemen van Cardspace met intermediate CA certs die geen [url=http://tools.ietf.org/html/rfc3280#section-4.2.2.1]Authority Information Access (AIA)[/url] gebruiken. Het probleem is hier omgekeerd: de Cardspace module wil zelf alle tussenliggende CA's hebben maar krijgt die niet als ze nog niet in de windows certificate store zitten. Als 'possible workaround for this issue' vermeldt MS dat het gebruik van AIA een oplossing zou kunnen zijn, maar plaatst daar wel de volgende opmerking bij: Een voorbeeld van invalid is http://corppki/aia/Microsoft Secure ServerAuthority(4).crt welke natuurlijk alleen binnen de muren van MS werkt.

Nog duidelijker is deze [url=http://www.microsoft.com/technet/archive/security/news/rootcert.mspx?mfr=true]Microsoft Root Certificate Program publicatie[/url] met o.a. in de Frequently Asked Questions sectie de vraag of intermediate CA certs niet ook met MSIE meegeïnstalleerd zouden moeten worden:

Ach, ik word er een beetje moe van, elke keer die ongefundeerde nonsens te
moeten bestrijden. Het is zo nutteloos, want ze blijven gewoon doorblaten,
naar argumenten wordt niet geluisterd. Zelfs bewijzen worden niet
geaccepteerd, de eerste de beste puistenkop die iets heeft horen mekkeren
op de middelbare school, weet het allemaal veel beter.

Verder hebben jullie hier een goed onderbouwde redenatie, dus wat zal ik er
dan nog aan toevoegen?