Puncte:0

Browser web prezentat cu un certificat SSL fals?

drapel jp

Am ceea ce pot caracteriza doar ca fiind o problemă foarte ciudată.

Avem clienți care, atunci când ne vizitează site-ul web, primesc o eroare SSL: ERR_CERTIFICATE_AUTHORITY_NOT_VALID

La o inspecție mai atentă, certificatul prezentat browserului lor este nu certificatul nostru. Certificatul nostru este emis de GoDaddy și este certificat cu wildcard. Certificatul vizibil în browserul utilizatorului atunci când apare această eroare este un singur certificat de site web și este emis de Cisco și este valabil doar 5 zile. Nu avem nici măcar dispozitive Cisco de orice fel și nici nu am achiziționat vreodată un certificat SSL de la ei.

De asemenea, acest lucru nu se întâmplă tuturor clienților, ci doar unora. Problema apare cu unii oameni care lucrează la birou și alții care lucrează de acasă. În plus, utilizatorii cu probleme par să provină dintr-o anumită regiune.

În cele din urmă, această problemă este nu reproductibil de noi. Se întâmplă doar cu niste a clienților noștri.

Ajutor?

Habar n-am ce se întâmplă aici. Există un firewall sau un dispozitiv VPM care generează acest certificat necinstite? (Se presupune că un dispozitiv Cisco?)

vidarlo avatar
drapel ar
Valabilitatea scurtă combinată cu faptul că menționează Cisco m-ar face să cred că este un proxy de interceptare ssl care este configurat greșit sau dispozitivele care văd acest avertisment nu au certificatul CA instalat. Probabil că este o problemă în organizația lor.
drapel jp
Cam la asta mă gândeam, dar ai spus-o mai clar.... :-) Va fi greu de urmărit, deoarece nu am acces la rețeaua lor.
drapel jp
Un alt gând: nu sunt un expert SSL, în niciun caz, dar m-am gândit că dacă dețin domeniul, doar eu aș putea emite certificate SSL pentru domeniul meu? Am un certificat \*.example.com care *ar trebui* folosit, dar dispozitivul lor emite un anumit certificat, host1.example.com, cu emitentul Cisco. Cum este posibil asta?
Steffen Ullrich avatar
drapel se
@MarkJ.Bobak: Toată lumea poate emite pentru orice domeniu dacă își folosește propriul CA în loc de CA de încredere public, cum ar fi Let's Encrypt. Numai că aceste certificate nu vor fi de încredere de către browsere decât dacă propria lor CA este adăugată în mod explicit ca fiind de încredere. În mediile corporative, CA pentru proxy-ul de interceptare SSL este de obicei adăugat automat la sistemele gestionate. Fie acest lucru nu reușește, fie utilizatorii dvs. își folosesc propriul dispozitiv (BYOD) fără CA suplimentară de încredere în rețeaua companiei. În orice caz, nu puteți face nimic, este o problemă cu clientul și/sau rețeaua client.
Appleoddity avatar
drapel ng
Utilizatorul final se află în spatele unui proxy sau a unui filtru. Interceptează conexiunea și prezintă propriul certificat în locul tău. Interceptează conexiunea fie pentru a o bloca, fie pentru a efectua o inspecție profundă a pachetelor (prin decriptarea traficului). Dispozitivul utilizatorului final nu are încredere în certificat, deoarece oricine gestionează proxy-ul/filtrul nu l-a configurat corect. Oricine poate crea un certificat cu numele dvs. de domeniu. Dar nu oricine îl poate semna de către o autoritate de certificare de încredere. Prin urmare, trebuie să plaseze CA autosemnată în magazinul rădăcină de încredere al dispozitivului.
drapel jp
Mulțumesc Steffen, mulțumesc Appleoddity, asta are un sens perfect și se aliniază aproape cu ceea ce bănuiam, deși nu l-am exprimat atât de clar. Mulțumiri!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.