У меня проблемы с подключением к сайту SSL (не моему) из командной строки. Путь сертификации: «GeoTrust Global CA»> «GeoTrust SSL CA»> «* .131500.com.au». Сервер недавно заменил свой сертификат (действительный с 13 мая 2013 г.), примерно в то время, когда он перестал работать.
Я вижу ту же проблему с использованием curl, wget и «openssl s_client», whynopaddlock.com и трех разных хостов (два разных хоста Ubuntu 13.04, включая новую виртуальную машину, и один Windows-7-x64 / cygwin).
Однако у меня нет проблем с использованием браузера (Google Chrome 26.0.1410.64 m в Windows-7-x64).
У кого-нибудь здесь есть указатели? Обычно я виню свою конфигурацию ssl-клиента, но это происходит на нескольких хостах. Далее я бы винил конфигурацию сайта, но почему она нормально работает в Chrome?
Возможно ли, что что-то изменилось с помощью GeoTrust, что требует изменения конфигурации?
www.whynopadlock.com сообщает:
SSL verification issue (Possibly mis-matched URL or bad intermediate cert.). Details:
ERROR: cannot verify tdx.131500.com.au's certificate, issued by `/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA': Unable to locally verify the issuer's authority.
openssl s_client может сказать следующее:
$ openssl s_client -connect tdx.131500.com.au:443
CONNECTED(00000003)
depth=0 serialNumber = 8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq, C = AU, ST = New South Wales, L = North Sydney, O = SERCO GROUP PTY LIMITED, CN = *.131500.com.au
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 serialNumber = 8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq, C = AU, ST = New South Wales, L = North Sydney, O = SERCO GROUP PTY LIMITED, CN = *.131500.com.au
verify error:num=27:certificate not trusted
verify return:1
depth=0 serialNumber = 8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq, C = AU, ST = New South Wales, L = North Sydney, O = SERCO GROUP PTY LIMITED, CN = *.131500.com.au
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/serialNumber=8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq/C=AU/ST=New South Wales/L=North Sydney/O=SERCO GROUP PTY LIMITED/CN=*.131500.com.au
i:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/serialNumber=8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq/C=AU/ST=New South Wales/L=North Sydney/O=SERCO GROUP PTY LIMITED/CN=*.131500.com.au
issuer=/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 1435 bytes and written 536 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID: 1D1C840AF8B831E4070232FC2E8057F0BAB6E1B5A37CB3C93F415C715E4CE05F
Session-ID-ctx:
Master-Key: A00FD977D39342B4F1DEA1A4ECCD74BDD09E709FAB7468105D78D476D9E22D330102891E341AB177B98B8BD8E29C9238
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1369021662
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
Сервер настроен неправильно - он не отправляет требуемый промежуточный сертификат. Обратите внимание, что в цепочке сертификатов есть только один сертификат:
---
Certificate chain
0 s:/serialNumber=8z3ZNMMt8GMi9Qumrn0xficRkxAYJZQq/C=AU/ST=New South Wales/L=North Sydney/O=SERCO GROUP PTY LIMITED/CN=*.131500.com.au
i:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
---
После этого должен быть второй сертификат с темой s:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
.
В Apache промежуточные сертификаты настраиваются с помощью SSLCertificateChainFile вариант.
Что касается того, почему этот сайт работает для вас в Chrome, есть несколько возможных объяснений:
Разные браузеры могут использовать отдельные хранилища сертификатов, а ваш Chrome может иметь GeoTrust SSL CA
сертификат доверенный напрямую (однако это маловероятно, если ЦС намеревался использовать этот сертификат в качестве промежуточного).
Браузеры часто кэшируют промежуточные сертификаты в своих хранилищах сертификатов, поэтому, если вы ранее посещали другой сайт, на котором GeoTrust SSL CA
Если промежуточный сертификат правильно настроен, вы сможете получить доступ к сайту, который использует тот же промежуточный сертификат, но не отправляет его клиентам должным образом без предупреждений системы безопасности, поскольку браузер может получить требуемый промежуточный сертификат из своего кеша и может проверьте цепочку сертификатов.
Рассматриваемый сертификат конечного объекта содержит URL-адрес HTTP, который можно использовать для получения промежуточного сертификата:
Authority Information Access:
OCSP - URI:http://gtssl-ocsp.geotrust.com
CA Issuers - URI:http://gtssl-aia.geotrust.com/gtssl.crt
(в CA Issuers
ссылка здесь указывает на сертификат эмитента в формате DER). Некоторые системы могут использовать такие ссылки для получения промежуточного сертификата, даже если он не возвращается сервером. Согласно Ошибка Mozilla 399324, Firefox (и другое программное обеспечение на основе Mozilla) в настоящее время не может переходить по таким ссылкам AIA; тем не мение, Internet Explorer может их использовать.
openssl не может найти промежуточный сертификат (ы). Тот факт, что whynopadlock.com не может также свидетельствовать о том, что они изначально не были установлены, и работает в (некоторых) браузерах, поскольку у них уже есть промежуточные сертификаты. Владельцу сайта необходимо установить промежуточные сертификаты, которые можно скачать с geotrust.com. Инструкции по установке также можно найти там.
Если это иногда срабатывает, а иногда и не удается, то владелец сайта забыл установить промежуточные сертификаты на все серверы (или балансировщики нагрузки).