Error en TLSv1 después de recibir el certificado del servidor

5

Estoy teniendo un problema extraño al intentar realizar una conexión TLS.

Sé que mi máquina no está aceptando el certificado del servidor al mirar los registros de wireshark.

Esto me indica que no confío en la CA que firmó el certificado del servidor, pero he subido el certificado que firmó el certificado Sever en mi Tienda de autoridad de certificados raíz de confianza.

Incluso descargué el certificado que me envió el servidor y examiné su ruta para asegurarme de que era confiable. Puedo ver en el estado del certificado que el certificado es correcto.

No estoy exactamente seguro de por qué mi máquina cliente está rechazando la conexión del certificado del servidor.

    
pregunta McFrank 03.03.2017 - 16:42
fuente

1 respuesta

3

Hay muchas razones por las que una conexión TLS podría fallar además de Trust. A partir de la captura de pantalla que proporcionó, no es obvio que el error de negociación de TLS se deba a que " mi máquina no acepta el certificado del servidor ". Para determinar el problema de confianza exacto, debe buscar alertas (mensajes de alerta SSL) y ver si indica bad certificate (code 42) , unsupported certificate (43) , certificate revoked (44) , certificate expired (45) o certificate unknown (46) . En Wireshark, esto se vería como Alert (Level: Fatal, Description: Bad Certificate) .

Específicamente, mirando la captura de paquetes, el último mensaje es Server Hello, Certificate, _Certificate Request_, Server Hello Done . Esto me dice que el servidor está configurado para solicitar autenticación mutua. Por lo tanto, la siguiente respuesta esperada es Certificate Message del cliente seguido de Certificate Verify . No veo eso en tu captura de pantalla. Alternativamente, Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message ya que algunos clientes están configurados para ignorar la autenticación mutua y el servidor podría configurarse para permitir tal comportamiento.

Creo que la causa probable del fallo del protocolo de enlace aquí es que su cliente no admite / no está configurado para la autenticación mutua basada en certificados.

    
respondido por el Kirill Sinitski 03.03.2017 - 19:14
fuente

Lea otras preguntas en las etiquetas