Pasos para averiguar si un certificado SSL es confiable

Navega tus respuestas
4

Para hacer negocios con una empresa tengo que buscar en enlace (sitio web en alemán).

Firefox dice que el certificado no es válido porque no está firmado por una CA raíz de confianza.

Estos son los datos del certificado: 

Created for
CN: www.prioenergie.de
Serial: 1A:AE:76:6C:D0:09:24:AC:41:07:2D:27:7E:42:4A:FB

Created by
CN: thawte DV SSL CA - G2
O: thawte, Inc.
OU: Domain Validated SSL

Valid from: 06.11.2014 01:00:00
valid through: 12.09.2017 01:59:59

SHA256 fingerprint: 45:8B:50:A6:21:F1:17:7F:AE:63:24:EE:ED:DA:CE:6A:53:38:C4:AC:F6:48:0D:0A:52:49:F8:B3:07:4E:1B:25

Lo que hice hasta ahora:

  • Ya busqué en Google la huella digital, pero no encontré nada útil.
  • Escribí un correo electrónico a la línea directa de soporte y les dije que investigaran sobre este problema
  • He enviado la URL en SSLLabs y obtuve una calificación C, que ciertamente no es lo mejor, pero tampoco es muy significativo para mí.

¿Cuál sería el siguiente paso para averiguar si puedo o no puedo confiar en el certificado?

    
pregunta Thomas Weller 27.11.2014 - 23:05
fuente

3 respuestas

4

Si ejecuta el siguiente comando, verá que cuando la persona que administra TLS para el servidor reemplazó el certificado de hoja (el certificado para el servidor mismo), no reemplazó la cadena (los certificados de las Autoridades de certificación que construyen la cadena de confianza).

echo |openssl s_client -connect www.prioenergie.de:443 -showcerts 2>&1 |grep -E '^ [0-9 ] (s|i):'

Específicamente, el certificado de hoja fue emitido por CN = thawte DV SSL CA - G2 , pero el primer certificado de CA en la cadena devuelta por el servidor es CN = Thawte DV SSL CA .

Lo más probable es que la persona que administra el servidor lo haya probado con Internet Explorer, que intenta ser permisivo con lo que acepta recorriendo el AIA si la cadena no coincide, pero que no sigue la especificación TLS y que no es compatible con la forma en que se comportan la mayoría de los clientes TLS (otros navegadores como Firefox, OpenSSL, NSS, las bibliotecas TLS de Java, etc.).

Recomendaría contactar a la compañía y avisarles que necesitan instalar la nueva cadena proporcionada por la Autoridad de Certificación (Thawte).

En este punto, debe tomar la decisión comercial. ¿Reduce su postura de seguridad para poder hacer negocios con esta empresa, basándose en la presunción de que esto es un error de configuración? ¿O decide que esto no es un riesgo aceptable y solo trata con la compañía a través de canales aceptables conocidos, como el número de teléfono / fax impreso en la guía telefónica?

    
respondido por el DTK 28.11.2014 - 04:08
fuente
3

Este es un error puramente técnico del lado de los administradores del sitio web. Esto no es un problema de seguridad.

Simplemente intercambiaron el certificado de la entidad final pero se olvidaron de intercambiar la cadena. Esto hace que parezca inválido para algunos navegadores.

Los estándares exigen que el servidor web presente esta cadena. Pero esto es una cortesía para el cliente y no una característica de seguridad. (Todos los miembros de la cadena son públicos de todos modos.)

Sin embargo, algunos navegadores pueden reparar estas cadenas rotas ("AIA chasing"), otros no. Estos no pueden verificar la confianza y mostrar una advertencia.

El bit interesante en el informe de SSL-Labs es esta línea:

enlace

  

Problemas de cadena Incompletos, Certificados adicionales

Ahora SSL-Labs puede realizar la persecución de AIA . Así es como pudo obtener el certificado etiquetado como "descarga adicional".

Los administradores cometieron un error. Es feo y debe ser arreglado. Pero no es un problema de seguridad.

    
respondido por el StackzOfZtuff 28.11.2014 - 12:33
fuente
1

El certificado no es válido. Por definición no puedes confiar en ello. Ese es el punto central de tener una cadena de certificados. En toda evidencia, simplemente ha sido configurado incorrectamente; Puede encontrar el mismo problema: desde el punto de vista del webmaster: aquí .

Puedes consultar a Thawte ... pero no aguanto la respiración por una respuesta. Probablemente sentirán, correctamente, que no es su problema.

Puede confiar en el proveedor "por fe" y aceptar temporalmente el certificado por el tiempo necesario para descargar su factura. Es bastante improbable que sea un sitio forjado; pero por si acaso, puede esperar un poco de tiempo para ver si solucionan el problema o, al menos, reconocerlo.

    
respondido por el LSerni 28.11.2014 - 02:46
fuente

Lea otras preguntas en las etiquetas

¿Es peligroso servir archivos Flash (SWF) subidos por el usuario? ¿Correo electrónico PGP bidireccional sin publicar su clave / dirección en un servidor de claves?