Chrome marcó un sitio web como inseguro y está solicitando los detalles de mi tarjeta de crédito [cerrado]

1

Verifiqué que la CA raíz AddTrust External CA Root está instalada en el almacén de certificados de Windows 10. ¿De qué otra manera puedo solucionar esto desde la perspectiva del cliente?

$ openssl s_client -connect service.electrostub.com:443 -tls1_2
depth=2 C = GB, ST = Greater Manchester, L = Salford, 
    O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.electrostub.com
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA 
Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA 
Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority  
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority    
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
    
pregunta Jacques René Mesrine 18.06.2017 - 04:39
fuente

2 respuestas

5
verify error:num=20:unable to get local issuer certificate

Primero, openssl s_client no usa el almacén de certificados de Windows, pero requiere un almacén de certificados en un formato diferente y en una ubicación diferente, y comúnmente no hay nada instalado en Windows. Es por eso que no puede encontrar la CA raíz en el almacén de confianza local, lo que da como resultado el mensaje de error que ve.

Pero, el certificado se valida correctamente en Edge, IE y Chrome, ya que todos ellos utilizan el almacén de confianza integrado de Windows. Y si bien Firefox no usa el almacén de confianza integrado en el sistema operativo, se envía con su propia cuenta que también contiene la CA raíz requerida.

La razón real por la que se informa que el sitio es inseguro es porque reenvía el tráfico HTTPS a HTTP simple. Esto significa que si bien tiene un certificado SSL válido y correctamente instalado y en teoría podría usar HTTPS para proteger la conexión, abandona explícitamente HTTPS y obliga al navegador a usar HTTP sin protección e inseguro:

$ curl -v https://service.electrostub.com
...
< HTTP/1.1 302 Found
...
< Location: http://service.electrostub.com/index.cfm?
            ^^^^^

Si esto es por diseño o debido a una mala configuración del sitio, no lo sé, aunque es más probable que haya una mala configuración. Desde el lado del cliente no hay nada que puedas hacer para solucionar este problema. En su lugar, debe ser reparado por los operadores del servidor.

    
respondido por el Steffen Ullrich 18.06.2017 - 08:09
fuente
3

Esta es una de esas áreas grises, IMHO. Veo esto con poca frecuencia, y cada vez me desconcierta. Parece que sabes lo que significa, así que me saltaré cualquier explicación. :)

No es algo que intentaría arreglar desde el lado del cliente, a menos que sepa que el certificado específico (incluido su número de serie y las huellas digitales) coincide con la copia de mi tienda de certificados local. Es posible que la misma CA intermedia (AddTrust External CA, en este caso) tenga otros certificados (que no estén en el almacén de certificados local) en uso.

Aparte: ese sitio específico está redirigiendo https a http. Por lo tanto, definitivamente no se recomienda dar información de la tarjeta de crédito, incluso si la página de pagos se sirve con https.

    
respondido por el Sas3 18.06.2017 - 05:07
fuente

Lea otras preguntas en las etiquetas