为什么Symantec/Verisign显示为无效权限？

Question

1. 典型的浏览www.BankOfAmerica.com给我带来了一个ERR_CERT_AUTHORITY_INVALID错误。这是一个最新的生产版本的谷歌Chrome的Mac。
2. 我试过了Safari，结果也一样。
3. 该证书有效期至2016年，因此似乎不是过期问题。
4. 似乎权威赛门铁克第3级EV G3被认为是无效的.尝试浏览到twitter.com和https://my.symantec.com，会引发同样的警告。HTTPS与其他站点的连接(使用GeoTrust、Google和其他CA)运行良好。
5. OTOH，运行SSL检查工具(在sslshopper.com)显示一切正常。

你能复制上述行为吗？在bankofamerica.com和twitter这样的网站上，浏览器(S)会收到SSL警告吗？

你能解释一下发生了什么吗？

至于我的专业水平，请注意，我不是开发人员，而是最终用户。

更新：- Mac浏览器从操作系统中获取受信任的根CA，这在我安装了Apple安全更新之后就开始了。因此，确认这种行为可能需要OSX10.8.5提供最新的安全补丁。

• 不信任开始于根CA，"VeriSign第3类公共初级认证机构- G5“。我可以看到，在OS (Mac的“密钥链”数据库)中，具有此确切名称的CA显示为有效和可信的证书，但其序列号(以及SHA-1和MD5指纹)与浏览器所看到的完全不同。
• 因此，我想知道苹果最新的安全补丁是否破坏了网络的很大一部分。讽刺的是，它还破坏了苹果的操作系统软件更新，因为他们也依赖VeriSign。我也会在苹果论坛上嗅一嗅。
• 值得注意的是，Chrome表示“证书不受信任”和“您的连接是用过时的密码加密的”。
• 这不是我周日早上打算做的.但是AFAIK打破SSL/TLS的最简单方法是让我作为一个用户说“嗯，我只是添加这个CA”。当它与我的银行和三分之一的网络有关时，我会谨慎行事。

Answer 1

解决了。这个问题确实是通过安装Apple /ML安全更新2015-004而引发的。正如这张苹果发布的便条中提到的，它包括对证书信任策略的更新。安装了一个重复的证书(带有错误的序列号)，从而解决了问题。

苹果发布的证书序列号与系统证书存储库中安装的序列号相匹配，但在“登录”存储库中有一个"VeriSign第3类公共初级证书颁发机构- G5“。一旦我删除了它，一切都恢复正常了。

关于证书最初为何出现在登录存储库中，仍然有一些神秘之处，特别是因为正如我刚刚发现的那样，其他几个人也经历了同样的问题：https://discussions.apple.com/thread/6984765 https://apple.stackexchange.com/questions/180570/invalid-certificate-after-security-update-2015-004-in-mavericks。

Answer 2

有两条直到Verisign 3 G5的链。在某种程度上，Verisign正通过一个更长的链将其链接到根，一些OSes在走上AIA时感到困惑，而不是在服务器传递给客户端的链上行走。

这听起来是一个很大的问题，特别是因为合并的Symantec属性是最大的第1层CA。

我没有Mac电脑，所以我无法复制结果。我可以确认，在IOS中使用Safari和Google，以及在IOS中使用SSL侦探，我得到了预期的(好的)结果。

您是对的，在不知道证书的来源和可信度的情况下，将证书添加为可信证书是非常危险的。打得好！