ssl_error_bad_certificate_domain, ¿Firefox todavía valida el certificado? [duplicar]

1

Tengo un dispositivo NAS privado. Utiliza un certificado SSL autofirmado. Puedo importar el certificado a Firefox y todo funciona siempre que acceda al dispositivo desde algún lugar de Internet. La validación y el cifrado de SSL están funcionando.

Ahora, si intento acceder al dispositivo a través de mi LAN, recibo un error de firefox: ssl_error_bad_certificate_domain . Esto sucede porque accedo al dispositivo con su dirección IP local y no con la dirección web DDNS.

Puedo agregar la dirección IP a la lista de Nombres alternativos del sujeto en el Certificado, si es estático, para resolver el problema. Consideremos el problema, cuando no puedo hacerlo estático, pero tiene que mantenerse dinámico.

Leí en RFC 2818 que

  

Si el cliente tiene información externa sobre la identidad esperada del servidor, la verificación del nombre de host PUEDE omitirse. (Por ejemplo, un cliente puede conectarse a una máquina cuya dirección y nombre de host son dinámicos, pero el cliente conoce el certificado que presentará el servidor).

Sé exactamente que este certificado es el correcto. Entonces, si el servidor puede identificarse con la clave privada, todo está bien. Pero, ¿cómo puedo saber si Firefox comprueba el certificado incluso si falla la comprobación del nombre de host?

    
pregunta PhilippVerpoort 09.04.2015 - 17:03
fuente

2 respuestas

0

Parece que no ha incluido una sección subjectAltName en su certificado autofirmado, enumerando todos los nombres de dominio y las direcciones IP bajo las cuales accederá al dispositivo NAS.

A pesar de que se le ha dicho a Firefox que ignore que este certificado no tiene un emisor confiable, todavía no puede confirmar que la URL que está usando esté cubierta por su excepción de seguridad.

    
respondido por el Stuart Caie 09.04.2015 - 17:31
fuente
0
  

Sin embargo, tendría que asegurarme de que Firefox realmente comprueba la validez del certificado, ¿o me equivoco? ¿Firefox hace eso?

Si agrega una excepción para un certificado a Firefox, solo asociará la excepción con el nombre de host en la URL. Si luego obtiene el mismo certificado con otro nombre de host, debe agregar la excepción nuevamente.

Si, en cambio, agrega el certificado como de confianza al navegador, es decir, no utilizando una excepción, sino agregándolo al almacén de certificados, se utilizará para la validación como todos los demás certificados de confianza. Eso significa que solo se validará con éxito si el nombre dado en la URL dentro del navegador coincide con el nombre dado en el certificado. Si solo tiene una IP, debe agregarla como tipo IP como nombre alternativo del sujeto (SAN), y debido a algunos navegadores con errores, es mejor agregarla también como tipo DNS. Usar la IP como nombre común funcionará con algunos navegadores, pero no con todos. También tenga en cuenta que una vez que tenga una entrada de DNS como SAN, un navegador que cumpla con el estándar ya no verá el nombre común, por lo que necesita tener todos los nombres como SAN.

    
respondido por el Steffen Ullrich 09.04.2015 - 18:00
fuente

Lea otras preguntas en las etiquetas