¿Por qué OpenSSL muestra diferentes CA para mail.google.com:443 de lo que muestra Chrome / Firefox? [duplicar]

0

¿Por qué openssl muestra una cadena de certificados diferente para mail.google.com:443 de lo que muestra Chrome / Firefox?

$ openssl s_client -connect mail.google.com:443 < /dev/null | head -10
depth=2 /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---

El resultado anterior muestra que el certificado de nivel superior pertenece a GeoTrust Global CA y está emitido por Equifax Secure Certificate Authority. El certificado del servidor se emite a mail.google.com.

Pero Chrome y Firefox muestran que el certificado de nivel superior es un certificado raíz autofirmado por GeoTrust Global CA. El certificado del servidor parece ser emitido a * .google.com.

InclusodespuésdedeshabilitarelQUICatravésdelasmarcasdechrome://,todavíanopuedoverelcertificadodeEquifaxenlacadenadecertificados,aunqueelcertificadodelservidorahorapareceestaremitidoamail.google.com.

¿Por qué veo un certificado Equifax diferente en OpenSSL pero no en Firefox / Chrome?

    
pregunta Lone Learner 04.05.2017 - 16:03
fuente

1 respuesta

0

Chrome no está usando HTTPS como lo está haciendo con openssl s_client pero usa el protocolo QUIC para acceder al sitio. En la Descripción de seguridad (herramientas de desarrollo) puede ver:

  

La conexión a este sitio se encripta y autentica mediante un protocolo fuerte ( QUIC ), un intercambio de clave fuerte (X25519) y un cifrado fuerte (AES_128_GCM).

Esto significa que accede a un servicio diferente que proporciona un certificado diferente. Por qué ofrecen un certificado diferente, hay que preguntar a Google.

Una vez que deshabilite QUIC en chrome://flags y reinicie el navegador, obtendrá el mismo certificado que openssl, es decir, el de mail.google.com. Y el resumen de seguridad ahora muestra:

  

La conexión a este sitio se encripta y autentica mediante un protocolo fuerte ( TLS 1.2 ), un intercambio de clave fuerte (ECDHE_ECDSA con X25519) y un cifrado fuerte (AES_128_GCM).

    
respondido por el Steffen Ullrich 04.05.2017 - 16:32
fuente

Lea otras preguntas en las etiquetas