Firefox detectó un certificado SSL no válido

Navega tus respuestas
2

14 de febrero de 2012 UTC:

Ayer, me conecté a un sitio web de un proveedor de VPN para el que Firefox 8.0.1 en Windows 7 Ultimate x86-64 declaró que su certificado SSL no es válido. Guardé el certificado recibido en un archivo PEM y lo envié por correo electrónico a los administradores del sitio varias horas más tarde (no tienen una dirección de correo electrónico de contacto, por lo que terminé enviándolos por correo electrónico a través de WhoisGuard). Me sugirieron que elimine el certificado almacenado en Firefox. No intenté volver a conectar antes de eliminar el certificado, porque tenía una excepción en Firefox. Después de eliminar el certificado, Firefox no consideró el certificado de los sitios como inválido en las conexiones de la sub-petición. Guardé el certificado SSL recibido en otro archivo PEM y comparé sus sumas de comprobación, que son las mismas.

El proveedor de VPN en cuestión es utilizado por Anonymous Operations, que recientemente ha realizado el DDoS-ed en el sitio web de los presidentes de mis países, y su oficina hace una declaración de que pondrá fin a nuevos ataques y varios otros sitios web gubernamentales. ¿Qué opinas? ¿Se trata de un error de Firefox o podría haber habido un ataque de Government in the Middle?

18 de febrero de 2012 UTC:

Hoy tuve la misma advertencia con Firefox 10.0.1; el error exacto es "sec_error_unknown_issuer". El certificado no se inicia en la raíz del certificado; Tampoco es un certificado autofirmado; es un certificado GlobeSSL.

@Hubert Kario: este es el certificado de Firefox: 

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            12:e6:16:58:d3:fa:61:cf:a7:da:c5:84:e0:53:4d:ff
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=Globe Hosting, Inc., OU=GlobeSSL DV Certification Authority, CN=GlobeSSL CA
        Validity
            Not Before: Apr  5 00:00:00 2011 GMT
            Not After : Apr  5 23:59:59 2013 GMT
        Subject: OU=Domain Control Validated, OU=Provided by Globe Hosting, Inc., OU=Globe Standard SSL, CN=ibvpn.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:bd:c1:03:a1:95:88:48:93:29:8e:de:77:52:13:
                    64:e2:7a:e2:c8:9e:eb:fc:9b:6d:79:cd:c2:ce:ce:
                    1a:44:fc:fe:b1:a1:58:e2:bf:84:56:ef:d4:0c:0f:
                    5a:5f:c1:f5:aa:e7:01:86:f4:55:e6:51:60:2f:85:
                    5d:f6:5d:da:90:e8:be:ae:c7:87:5d:df:d1:88:c7:
                    1b:dc:d8:85:89:75:69:e9:a1:02:7b:94:4e:c4:b1:
                    b5:28:c3:48:6b:be:3f:a5:a4:bc:8f:72:bb:28:2a:
                    23:bc:d7:f9:ce:df:5f:8f:ab:5a:fd:4c:ef:16:90:
                    68:39:51:d8:cb:c3:78:ae:58:27:96:2b:cb:cf:b4:
                    6b:a2:0c:13:cd:8d:79:4f:42:ae:47:8c:c3:af:82:
                    45:67:65:73:25:f8:89:2d:cd:4c:b7:6b:b5:84:fa:
                    fd:0c:8d:b6:04:41:50:0d:a3:17:b4:da:b7:39:63:
                    d6:61:87:5f:42:47:2e:3b:42:a6:b3:16:2e:66:70:
                    6e:49:8d:3d:74:08:b2:be:5a:a6:90:87:b5:a9:f5:
                    2d:0a:a0:d6:fe:d3:29:5f:9f:72:94:fb:d3:a6:3f:
                    e5:a2:64:13:0b:2c:5f:80:cd:78:f3:1f:43:6f:2e:
                    63:3d:3e:08:47:ce:0a:4a:8a:e8:3e:f3:5a:ab:da:
                    0e:45
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier: 
                keyid:C3:AB:A0:02:F0:9B:F5:66:7F:28:15:92:22:95:DB:B8:4E:D3:93:08

            X509v3 Subject Key Identifier: 
                37:F8:27:7D:3A:EA:36:01:AF:DD:3A:80:46:EC:ED:C2:D7:A2:A8:38
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.6449.1.2.2.27
                  CPS: http://www.globessl.com/docs/GlobeSSL_CPS.pdf

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://crl.globessl.com/GlobeSSLDVCertificationAuthority.crl

            Authority Information Access: 
                CA Issuers - URI:http://crt.globessl.com/GlobeSSLDVCertificationAuthority.crt
                OCSP - URI:http://ocsp.globessl.com

            X509v3 Subject Alternative Name: 
                DNS:ibvpn.com, DNS:www.ibvpn.com
    Signature Algorithm: sha1WithRSAEncryption
        53:ab:f8:27:68:90:d7:71:0e:95:3d:21:71:9d:80:26:5f:bb:
        af:8e:f8:b1:bb:0b:a7:df:d4:80:39:00:96:d3:8e:8a:26:b7:
        65:c6:c0:c4:b9:6e:7b:f5:3f:28:f3:6a:5e:71:40:60:89:f3:
        ed:ae:c3:f4:7c:e9:c7:2f:b7:8e:ba:15:7f:48:3c:4c:02:3f:
        1f:36:15:a4:b4:2d:64:18:0d:63:a7:bb:63:e2:d4:52:63:33:
        03:42:dc:5c:28:65:d0:17:d3:d2:69:39:b8:66:32:b0:c7:2b:
        3d:cb:f3:f9:51:37:bb:50:c6:2f:3d:e6:45:c2:72:8a:95:98:
        14:6e:78:3b:61:23:7b:a8:f6:fe:6b:6d:a0:5e:95:a4:14:c6:
        b1:ba:a0:1a:0b:72:63:99:ee:fa:55:1f:f7:44:45:11:2d:d3:
        4a:94:df:21:f0:70:df:6d:71:bb:82:e2:a0:4c:c9:6e:0a:75:
        a8:6a:14:98:10:d1:cd:01:58:56:26:37:0e:41:de:54:15:80:
        68:92:e9:58:12:5f:cf:9b:36:c0:f9:28:a7:17:75:6f:ad:7c:
        62:fe:18:d1:df:c0:12:95:6f:c8:d3:08:a9:5f:f3:d7:93:e8:
        3a:a0:30:3c:72:4c:3f:e1:ac:ab:9e:3c:fa:90:37:55:6a:f4:
        91:c3:9c:0a
    
pregunta nlovric 14.02.2012 - 08:36
fuente

3 respuestas

3

El servidor está mal configurado. No está sirviendo la cadena de certificados completa.

Este problema se identifica de inmediato con los servicios de verificación del servidor SSL estándar. Por ejemplo:

  • SSL Labs informa "Problemas con la cadena: Incompleto".

  • GlobeSSL informa "Su certificado no está instalado correctamente. Asegúrese de haber instalado todos los certificados intermedios necesarios (paquetes ) "

P.S. Nos hubiera sido más fácil ayudarlo si nos hubiera proporcionado el nombre de dominio o la URL del sitio que estaba visitando.

    
respondido por el D.W. 19.02.2012 - 03:56
fuente
3

Es posible que el servidor HTTP no esté sirviendo los certificados intermedios. Intente usar openssl s_client para verificar qué certificados obtiene: 

openssl s_client -connect www.google.com:443 -showcerts -CApath /etc/ssl/certs/

imprimirá certificados entre 

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Luego, puede guardar esas líneas en un archivo, /tmp/a.pem en este ejemplo, y mostrarlo en forma legible por humanos usando openssl x509 : 

openssl x509 -in /tmp/a.pem -inform PEM -noout -text

Repita para todos los certificados en cadena.

Actualización: este certificado fue firmado por GlobeSSL CA, por lo que su navegador debe tener este CA intermedio o el servidor debe enviárselo. Opera (11.61) tiene esta CA intermedia, Firefox no.

El servidor está mal configurado y no envía el certificado intermedio. Aquí está el enlace faltante entre su certificado y una CA de confianza global (AddTrust External CA Root) 

-----BEGIN CERTIFICATE-----
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-----END CERTIFICATE-----
    
respondido por el Hubert Kario 18.02.2012 - 11:59
fuente
1

"¿Qué opinas? ¿Se trata de un error de Firefox o podría haber habido un ataque del gobierno en el medio?"

Es una mala configuración o supervisión en el servidor. Recibo el mismo certificado cuando visito el sitio desde Canadá. Tan confiado como estoy de que Canadá no tiene un presidente, estoy seguro de que no hay ningún hombre en el medio que se realice a través del certificado SSL.

Hubert probablemente tiene razón, falta un certificado intermedio. Por cierto, a Chrome le gusta su certificado, pero no le gusta cómo lo usan.

    
respondido por el mgjk 18.02.2012 - 15:47
fuente

Lea otras preguntas en las etiquetas

Algunas preguntas sobre la distribución de las pruebas de penetración Backtrack 5 ¿Para qué se usan las contraseñas robadas?