înregistrare Logare
Puncte:0
avatar Server

Browser web prezentat cu un certificat SSL fals?

drapel jp
Mark J. Bobak

Am ceea ce pot caracteriza doar ca fiind o problemă foarte ciudată.

Avem clienți care, atunci când ne vizitează site-ul web, primesc o eroare SSL: ERR_CERTIFICATE_AUTHORITY_NOT_VALID

La o inspecție mai atentă, certificatul prezentat browserului lor este nu certificatul nostru. Certificatul nostru este emis de GoDaddy și este certificat cu wildcard. Certificatul vizibil în browserul utilizatorului atunci când apare această eroare este un singur certificat de site web și este emis de Cisco și este valabil doar 5 zile. Nu avem nici măcar dispozitive Cisco de orice fel și nici nu am achiziționat vreodată un certificat SSL de la ei.

De asemenea, acest lucru nu se întâmplă tuturor clienților, ci doar unora. Problema apare cu unii oameni care lucrează la birou și alții care lucrează de acasă. În plus, utilizatorii cu probleme par să provină dintr-o anumită regiune.

În cele din urmă, această problemă este nu reproductibil de noi. Se întâmplă doar cu niste a clienților noștri.

Ajutor?

Habar n-am ce se întâmplă aici. Există un firewall sau un dispozitiv VPM care generează acest certificat necinstite? (Se presupune că un dispozitiv Cisco?)

26
0 + 0
vidarlo avatar
drapel ar
vidarlo
Valabilitatea scurtă combinată cu faptul că menționează Cisco m-ar face să cred că este un proxy de interceptare ssl care este configurat greșit sau dispozitivele care văd acest avertisment nu au certificatul CA instalat. Probabil că este o problemă în organizația lor.
4
Răspunde
drapel jp
Mark J. Bobak
Cam la asta mă gândeam, dar ai spus-o mai clar.... :-) Va fi greu de urmărit, deoarece nu am acces la rețeaua lor.
0
Răspunde
drapel jp
Mark J. Bobak
Un alt gând: nu sunt un expert SSL, în niciun caz, dar m-am gândit că dacă dețin domeniul, doar eu aș putea emite certificate SSL pentru domeniul meu? Am un certificat \*.example.com care *ar trebui* folosit, dar dispozitivul lor emite un anumit certificat, host1.example.com, cu emitentul Cisco. Cum este posibil asta?
0
Răspunde
Steffen Ullrich avatar
drapel se
Steffen Ullrich
@MarkJ.Bobak: Toată lumea poate emite pentru orice domeniu dacă își folosește propriul CA în loc de CA de încredere public, cum ar fi Let's Encrypt. Numai că aceste certificate nu vor fi de încredere de către browsere decât dacă propria lor CA este adăugată în mod explicit ca fiind de încredere. În mediile corporative, CA pentru proxy-ul de interceptare SSL este de obicei adăugat automat la sistemele gestionate. Fie acest lucru nu reușește, fie utilizatorii dvs. își folosesc propriul dispozitiv (BYOD) fără CA suplimentară de încredere în rețeaua companiei. În orice caz, nu puteți face nimic, este o problemă cu clientul și/sau rețeaua client.
2
Răspunde
Appleoddity avatar
drapel ng
Appleoddity
Utilizatorul final se află în spatele unui proxy sau a unui filtru. Interceptează conexiunea și prezintă propriul certificat în locul tău. Interceptează conexiunea fie pentru a o bloca, fie pentru a efectua o inspecție profundă a pachetelor (prin decriptarea traficului). Dispozitivul utilizatorului final nu are încredere în certificat, deoarece oricine gestionează proxy-ul/filtrul nu l-a configurat corect. Oricine poate crea un certificat cu numele dvs. de domeniu. Dar nu oricine îl poate semna de către o autoritate de certificare de încredere. Prin urmare, trebuie să plaseze CA autosemnată în magazinul rădăcină de încredere al dispozitivului.
2
Răspunde
drapel jp
Mark J. Bobak
Mulțumesc Steffen, mulțumesc Appleoddity, asta are un sens perfect și se aliniază aproape cu ceea ce bănuiam, deși nu l-am exprimat atât de clar. Mulțumiri!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.