Código de error: sec_error_untrusted_issuer

1

Necesito ayuda con un problema de seguridad relacionado con este código que acaba de aparecer recientemente cuando visito mis sitios web favoritos. Basándome en una historia pasada, SÉ que algo no está bien, y no solo me preocupa mi seguridad, sino que estoy realmente molesto porque mi libertad está siendo controlada por alguien que ni siquiera conozco.

Sigo obteniendo el código de error publicado en mi título. Por favor, ayúdame a arreglar esto!

    
pregunta Charlie 12.02.2013 - 21:31
fuente

2 respuestas

4

Identificar el certificado del problema

La próxima vez que visite un sitio que muestre ese error, consulte la cadena de certificados , debería mira algo como esto:

Sinolohace,esdecir,sialgoenesalíneaesunproblema,debeidentificarelcertificadodelemisorvencidoosimilar.

Razonesparauncertificadodeproblema

  • Esposiblequeestoseaevidenciadeunataquedehombreenelmedio,peroestenodeberíasertuprimerpensamiento,yaquerequiereunacantidaddedificultadtécnicaparamontar.Sialguienestáintentandohaceralgoasí,deberíaverunproblemaalhacerclicenloscertificados"en la cadena" del sitio en el que se encuentra (en la ventana que se muestra arriba).

    Si ve algo que parece malicioso, su conexión no es segura y debería cambiarse a una red diferente.

  • Es posible que esto sea un ataque de hombre en el medio organizado por su administrador de red. Si está en una red corporativa utilizando una máquina de propiedad corporativa, es posible que el administrador haya pasado por alto la emisión del proxy a su máquina como CA confiable o que el certificado haya caducado, etc.

    Si ve a alguien que reconoce (su operador de red) en la cadena anterior, hable con él. Además, tenga en cuenta que, si bien es probable que su conexión sea segura, son capaces de escuchar.

  • Es posible que tenga una versión caducada o diferente de la misma raíz de certificado en su equipo por algún motivo. También puede que no confíe en la raíz ( StartSSL es un emisor que no tiene una gran cobertura, pero hay otros). Intente actualizar su navegador, ejecute Windows Update, etc. si la cadena parece estar bien, pero muestre los certificados caducados.

    Firefox usa una tienda diferente a IE: si no tienes el problema en IE, es probable que tengas que buscar actualizaciones de Firefox.

  • Es posible que no esté conectado al sitio al que cree que se está conectando. En un entorno corporativo, o en un punto de acceso público, puede haber una página de "clic a través" que debe pasar para comenzar a usar la red, y puede estar usando un certificado en el que no confía, o un autofirmado certificado, etc.

  • Puede ser tan simple como que el reloj de su sistema esté mal configurado, por lo que cree que sus certificados de CA caducan cuando, de hecho, son válidos.

Puede estar interesado en esta página de ayuda en SSL Shopper ; se vinculan a todas las CA principales con instrucciones sobre cómo actualizar sus certificados raíz.

    
respondido por el Bob Watson 12.02.2013 - 22:31
fuente
1

Si está viendo este error en los principales sitios web con los que está familiarizado, puede ser una indicación de que alguien está realizando algún tipo de ataque de hombre en el medio. Le están presentando certificados "válidos" para el sitio web que están firmados por su propia autoridad de certificación que no es de confianza.

Dicho esto, hay varios errores de configuración que podrían estar equivocados. Si está viendo esto por algo en la escala de Google, esté preocupado. De lo contrario, es posible que el sitio web esté utilizando una cadena de identidad mal configurada o que esté utilizando una de las autoridades de certificación que se ha marcado como no confiable a raíz de una infracción.

Así es como verifiqué GMail:

#Output of 'openssl s_client -connect $BROKEN_SITE:443 -showcerts < /dev/null'

CONNECTED(00000003)
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
issuer=/C=US/O=Google Inc/CN=Google Internet Authority
---
No client certificate CA names sent
---
SSL handshake has read 2110 bytes and written 348 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.1
    Cipher    : ECDHE-RSA-RC4-SHA
    Session-ID: 72257B54ADC216B87F6CDBC74BD6C66EDFB79CDF5BAC478DBE74885759CA7564
    Session-ID-ctx: 
    Master-Key: EACF7DDE1B6AF2BD1F274DD9009C718812B8F45B4CDE348CDA2B488C94070B6ABED087B11DF7B74A6EF9A2D6E157F089
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 100800 (seconds)
    TLS session ticket:
    0000 - c2 4f ef 02 39 eb 74 ec-60 c1 97 ee f0 de d6 5d   .O..9.t.'......]
    0010 - 8c 64 96 ad c0 ef a1 8d-49 4d df 7c 3e d7 13 39   .d......IM.|>..9
    0020 - 8c cf 1b db 4b 26 af f4-bc b7 44 95 5b 6c b3 05   ....K&....D.[l..
    0030 - 23 40 81 bf 46 e9 64 32-24 8b 49 73 82 12 14 5b   #@..F.d2$.Is...[
    0040 - 3d eb b1 75 3b 38 c7 9c-3c 21 ac 2c 2a d5 9f 71   =..u;8..<!.,*..q
    0050 - 7c 77 6b fa 44 f7 6a d3-19 10 ba cd f2 8e 7f 73   |wk.D.j........s
    0060 - ba 20 43 7f 83 db 78 6a-42 59 2a b6 bb b2 c5 c3   . C...xjBY*.....
    0070 - f3 71 ee 26 48 82 39 36-9f 96 b1 7e 85 a8 3f 39   .q.&H.96...~..?9
    0080 - 39 82 0e b3 18 cd 45 51-7a 19 ee 56 f8 dd 2d 3c   9.....EQz..V..-<
    0090 - 20 49 b7 69                                        I.i

    Start Time: 1360703474
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---

Notará que en la parte inferior dice "Verifique el código de retorno: 20 (no se puede obtener el certificado del emisor local)". Esto se debe a que la cadena de certificados espera que el cliente mantenga su propia copia de claves raíz de confianza. Puede ver la lista de claves que se incluyen con Firefox en enlace .

Hay un montón de cosas sucediendo, pero básicamente Equifax es GeoTrust , así que descargué esa clave. Puedes ver las partes importantes de eso en dos lugares:

  

1 s: / C = US / O = Google Inc / CN = Google Internet Authority      i: / C = US / O = Equifax / OU = Equifax Secure Certificate Authority

y de ir un paso más allá y ejecutar openssl x509 -text en ese certificado para obtener el ID de la clave de firma de ese segundo bloque de certificado:

  

X509v3 Authority Key Identifier: keyid: 48: E6: 68: F9: 2B: D2: B2: D7: 47: D8: 23: 20: 10F: 33: 98: 90: 9F: D4 <: / p>

Entonces, lo que necesitamos es una copia del certificado raíz con la clave, y ese es un tipo de confianza. enlace terminó siendo el paquete que elegí porque exportar desde varios puntos del sistema operativo es, como mínimo, una molestia.

La ejecución de openssl s_client -connect $BROKEN_SITE:443 -showcerts -CAfile cacert.pem < /dev/null ahora me da un código de retorno favorable:

Start Time: 1360706261
Timeout   : 300 (sec)
Verify return code: 0 (ok)

También puedes intentar buscar manualmente esa clave en tu sistema y exportarla para que SSL la verifique.

    
respondido por el Jeff Ferland 12.02.2013 - 21:57
fuente