Conexión no confiable después de instalar certificados SSL de Let's Encrypt

Navega tus respuestas
0

Obtuve 2 certificados emitidos de "Let's Encrypt", uno para "crackerscreed.org" y el otro para "www.crackerscreed.org". El cPanel en mi servicio de alojamiento dice:

  

Cuando cPanel instala un certificado SSL en uno de sus dominios, también instala el mismo certificado en el subdominio "www" de ese dominio y viceversa. Sin embargo, a menos que su certificado coincida con ambos dominios, solo uno de los dos dominios se mostrará como un sitio seguro en el navegador web de un usuario.

Actualmente, tengo el certificado "crackerscreed.org" instalado.

Ahora, si intento visitar enlace funciona perfectamente bien, pero si los visitantes intentan visitar enlace , reciben un error que dice" la conexión es insegura ". ¿Cómo trato con esto?

    
pregunta 7_R3X 02.11.2017 - 19:01
fuente

3 respuestas

2

Parece que tienes un problema con

  • entendiendo cómo funciona https,
  • qué podemos hacer para cifrar los certificados y
  • lo que necesitas

Hagamos esto lo más simple posible: (Para SNI, ver más abajo)

Tienes dos certificados para dos dominios, ambos alojados en la misma IP. Cuando un cliente se conecta y solicita un certificado, ¿cómo sabría el servidor qué dominio se ha solicitado antes de que se maneje la solicitud http?

El protocolo de enlace TLS (aquel en el que su servidor presenta su certificado al navegador) viene antes de la solicitud http del navegador, de lo contrario, las solicitudes no se cifrarían ni autenticarán.

Aquí es donde entra en juego el SAN (nombre alternativo del sujeto): permite que un certificado se extienda a diferentes dominios (por ejemplo, www.test.com y test.com). No necesita dos certificados sino uno para ambos dominios.

Editar para referencia futura: Además de los certificados SAN para múltiples dominios, hay un método llamado SNI (Indicación del nombre del servidor) que permite que el servidor saber el nombre de dominio durante el apretón de manos. Por lo tanto, el servidor puede conocer el nombre del host en el momento adecuado y presentar el certificado correcto. Esto puede ser más complejo de configurar y mantener, y en este caso (los dos dominios que pertenecen a la misma entidad y que la representan), un certificado de múltiples dominios como el descrito anteriormente hace un mejor trabajo representando la situación que SNI.

    
respondido por el Tobi Nary 02.11.2017 - 19:41
fuente
1

Parece que ha instalado el certificado para crackerscreed.org para el nombre de host www.crackerscreed.org . Dado que esto es solo para crackerscreed.org pero no para www.crackerscreed.org , significa que los sujetos del certificado no coinciden con el nombre de host y, por lo tanto, la validación del certificado. 

$ openssl s_client -connect www.crackerscreed.org:443 -servername  www.crackerscreed.org |\
  openssl x509 -text
...
    Subject: CN=crackerscreed.org
...
        X509v3 Subject Alternative Name: 
            DNS:crackerscreed.org
    
respondido por el Steffen Ullrich 02.11.2017 - 19:08
fuente
1

Al crear la firma, la solicitud de Let's Encrypt del dominio www.crackerscreed.org se ha ignorado en los argumentos de la línea de comandos o ha sido reemplazada por el otro dominio en lugar de agregarse.

Debes verificar y corregir tu línea de comandos en consecuencia (siéntete libre de agregarla como información adicional a tu publicación).

No olvide utilizar la URL del recinto de seguridad de Let's Encrypt mientras realiza las pruebas hasta que obtenga los comandos correctos; de lo contrario, siga la ruta de una semana de prohibición de Let's Encrypt debido a los límites de velocidad;)     

respondido por el WhiteWinterWolf 02.11.2017 - 19:20
fuente

Lea otras preguntas en las etiquetas

Defendiendo contra el Imperio ¿Por qué son útiles las firmas de solicitud http? [cerrado]