La configuración del certificado SSL en OS X 10.8.5 produce un error de "problemas de la cadena que contiene el ancla"

1

Estoy intentando instalar un certificado Thawte SSL123 en OS X 10.8.5, pero tengo una dificultad. Si bien el certificado y los intermedios parecen estar instalados sin ningún error, la ejecución del informe Qualys SSL Labs genera un mensaje "Cadena de problemas que contiene el ancla". Ejecutando openssl s_client -showcerts -connect externalcortex.com:443 el comando muestra un duplicado (ver más abajo)

Cualquier ayuda sería muy apreciada!

CONNECTED(00000003)
depth=3 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=externalcortex.com
   i:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
1 s:/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=externalcortex.com
   i:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
2 s:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
   i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
3 s:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
4 s:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
---
Server certificate
subject=/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=externalcortex.com
issuer=/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 6318 bytes and written 328 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: C88DB986D7A10D5FB17737D335153FF382E61A8564348235746A23B484E5630A
    Session-ID-ctx:
    Master-Key: CDA9E6D3FC8E8E5D7CCA7D3240FCA8E4BECFF3381064AFFE130B2E9DC2E0B471CC01D3C41E22792 5CB8197349606E047
    Key-Arg   : None
    Start Time: 1381459203
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
    
pregunta Levi 11.10.2013 - 05:00
fuente

1 respuesta

5

"Ancla" aquí significa ancla de confianza : nominalmente, la clave con nombre y pública que se conoce a priori por el cliente SSL y se usa para validar la certificado del servidor. Tradicionalmente , los anclajes de confianza se codifican como certificados, lo que es un tipo de estiramiento porque varios campos en un certificado no tienen mucho sentido para un ancla de confianza.

En particular, un certificado tiene un campo SubjectDN y un campo IssuerDN , este último es igual al SubjectDN del emisor del certificado. Un ancla de confianza no tiene un emisor, por lo tanto, cuando el ancla de confianza se codifica como un certificado, es habitual establecer el IssuerDN en el mismo valor que el SubjectDN (el certificado es "self -emitido"). Esto es lo que observas; no es un "duplicado". De manera similar, un certificado está firmado, por lo que hay que rellenar un campo signature ; Los anclajes de confianza son a menudo autofirmados. Un ancla de confianza codificada como un certificado autoemitido y autofirmado también se conoce como "raíz confiable", o "certificado raíz", o "CA raíz", o algunas otras variantes de terminología.

Cuando el servidor SSL habla con el cliente SSL, el servidor envía su certificado como parte de una cadena, comenzando con un ancla de confianza y terminando en el certificado del servidor propiamente dicho. Entonces la pregunta es: ¿se debe enviar el ancla de confianza, suponiendo que está codificado como un certificado, como parte de la cadena? Enviar ese certificado es inútil, porque si el cliente debe validar la cadena, entonces ya debe tenerlo. Sin embargo, está permitido enviar el ancla de confianza. El estándar lo dice :

  

Porque         la validación de certificados requiere que las claves raíz sean distribuidas         independientemente, el certificado autofirmado que especifica la raíz         La autoridad de certificación PUEDE ser omitida de la cadena, bajo el         supuesto de que el extremo remoto ya debe poseerlo para poder         Valídalo en cualquier caso.

Su servidor aparentemente envía el ancla de confianza. Sería exagerado llamarlo un "problema": el estándar lo permite. A lo sumo, podríamos decir que puede omitir este ancla de confianza sin ningún efecto negativo, y ahorraría un poco de ancho de banda (aproximadamente 1 kB por apretón de manos completo; el efecto generalmente no será significativo).

(Se sabe que SSL Labs otorga puntos negativos y pronuncia anatemas en detalles que son, en realidad, puramente cosméticos.)

    
respondido por el Tom Leek 11.10.2013 - 05:57
fuente

Lea otras preguntas en las etiquetas