Erro de certificado SSL / Web expirado em apenas um computador

Navegue suas respostas
5

Eu tenho um problema estranho com o certificado SSL de um site que afeta apenas um computador sistema operacional Windows 7 . O site funciona bem em outros computadores Win 7 sem erros, obtendo certificados válidos. Eu não possuo ou administro o site, mas como o site funciona perfeitamente em todos os outros computadores, duvido que seja um problema com o site. O "computador problemático" é uma máquina Win 7, e o erro acontece com todos os usuários do Win 7 e de todos os navegadores (ou pelo menos do IE10, Chrome e Firefox). Devo acrescentar que quando eu inicializo esse "computador problemático" para o Ubuntu a partir de uma chave USB, um certificado válido é extraído .

O domínio tem usuários privados e públicos, então prefiro não usar o domínio real aqui. Em vez disso, usarei um dos domínios falsos da Microsoft ( contoso.com ) para ilustrar o problema. O certificado parece se aplicar a *.contoso.com , mas só aparece quando tento acessar https://a.contoso.com . Quando eu acesso https://b.contoso.com , recebo um certificado diferente e válido que também se aplica a *.contoso.com .

EDIT: Browser / Win 7 imagens dos erros de certificado apagados da postagem original em favor da saída do openssl abaixo .

Isso tem sido um problema desde que o certificado expirou em 10 de dezembro de 2014. Eu tentei entrar em certmgr.msc > Autoridades de certificação raiz confiáveis > Certificados e exclusão de todos os certificados GeoTrust para as contas Usuário Atual e Computador. Um novo certificado de CA Global GeoTrust apareceu após a reinicialização, mas isso não resolveu a situação. Novamente, esse problema afeta todos os usuários em apenas um computador, independentemente do navegador usado. Além disso, isso não afeta os mesmos usuários do domínio se eles fizerem login em outro computador.

Aqui estão algumas outras soluções que tentei:

  • Reinicialização (claro).
  • Usando o botão Limpar estado SSL em inetcpl.cpl > Conteúdo
  • Acessando o site usando esse "computador com problema" de várias redes WiFi públicas diferentes.
  • Uso de certutil -setreg chain\ChainCacheResyncFiletime @now para invalidar as entradas atuais do cache da CRL, conforme link
  • Utilizou o botão Copiar para arquivo no certificado > Detalhes caixa em um computador de trabalho para copiar um certificado de trabalho para um arquivo que eu então transferido para e instalado no computador com o certificado expirado. + reiniciar, sem sorte.

Estou correto em assumir que isso é um problema com o computador individual e não com o site que hospeda a página? E se isso estiver correto, existe uma maneira de forçar este computador a eliminar o certificado expirado e obter o novo que todos os outros computadores estão obtendo?

ATUALIZAÇÃO: Pareço estar parcialmente correto em minha suposição de que isso não é um problema com o site que hospeda a página. Eu assumi que era um problema com o próprio computador, mas agora parece ser um problema com o sistema operacional Win 7 instalado apenas neste "computador com problema". Chego a essa conclusão porque outros computadores que executam o Win 7 obtêm certificados válidos e porque esse "computador problemático" obtém um certificado válido quando é inicializado no Ubuntu a partir de uma chave USB. Somente quando esse "computador problemático" é inicializado no Win 7, o certificado expirado é exibido. Com esse conhecimento, existe uma maneira de eliminar o certificado expirado do Win 7 com mais sucesso do que os que eu listei (que falharam todos) acima?

Obrigado antecipadamente.

Edit: aqui está a saída de openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout no "problem computer", usando o Cygwin do sistema operacional Win 7. Observe o atributo Validade que mostra o certificado para expirar em Dec 10 21:59:20 2014 GMT : 

$ openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout
depth=1 C = US, O = "GeoTrust, Inc.", CN = GeoTrust SSL CA
verify error:num=20:unable to get local issuer certificate
verify return:0
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 113752 (0x1bc58)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=GeoTrust, Inc., CN=GeoTrust SSL CA
        Validity
            Not Before: Oct  8 16:20:07 2012 GMT
            Not After : Dec 10 21:59:20 2014 GMT
        Subject: serialNumber=ibWVTrZnhDvyhydnlXKodqBj0Azl-unn, C=US, ST=Colorado, L=Denver, O=ContosoCompany, OU=ContosoDepartment, CN=*.contoso.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:df:41:d1:5b:bd:00:68:2c:5e:72:65:39:b6:ac:
                    7d:67:46:64:f9:c7:07:93:89:80:bd:27:77:f0:40:
                    6f:61:3b:58:96:bc:cb:a3:f9:40:ad:63:27:b3:e3:
                    fb:c6:87:dc:c8:af:9e:0e:79:c4:e2:09:31:34:e8:
                    c4:2a:7c:77:f1:88:41:c3:b3:b4:88:50:d0:3b:c9:
                    34:ac:61:e2:4d:a1:cd:6d:4e:db:73:25:eb:b7:f7:
                    82:95:2d:48:10:f7:78:25:a8:c8:05:a0:bd:07:6b:
                    7c:b9:09:e4:73:1a:ae:b7:8b:cd:9a:ef:58:39:70:
                    c3:20:5d:ab:8e:f0:c3:fc:96:d9:07:80:e1:88:e8:
                    b3:83:18:1c:ba:28:9b:a6:45:7f:0f:98:9b:cb:53:
                    29:c6:9e:d5:9c:26:40:bd:81:0d:bc:b3:06:90:9a:
                    a3:25:98:bb:b1:b3:0d:e6:7f:4e:93:8e:ee:b4:de:
                    15:3c:45:ac:1f:41:3d:e1:5e:de:3c:bb:ce:97:40:
                    fa:10:43:1a:bc:44:2a:55:fe:c2:e0:e0:6a:c3:17:
                    08:a6:ca:51:de:44:0a:c0:28:32:58:a4:f5:1a:ed:
                    c0:8f:40:22:6a:05:1a:9c:2c:20:39:24:83:10:36:
                    a0:49:79:4b:50:9e:ea:e7:5d:d2:57:54:a5:a3:24:
                    6b:2d
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:42:79:54:1B:61:CD:55:2B:3E:63:D5:3C:48:57:F5:9F:FB:45:CE:4A

            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Data Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                DNS:*.contoso.com, DNS:contoso.com
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://gtssl-crl.geotrust.com/crls/gtssl.crl

            X509v3 Subject Key Identifier:
                EE:49:78:68:84:FF:89:18:BE:21:E9:34:73:32:59:33:2E:93:B3:2B
            X509v3 Basic Constraints: critical
                CA:FALSE
            Authority Information Access:
                OCSP - URI:http://gtssl-ocsp.geotrust.com
                CA Issuers - URI:http://gtssl-aia.geotrust.com/gtssl.crt

            X509v3 Certificate Policies:
                Policy: 2.16.840.1.113733.1.7.54
                  CPS: http://www.geotrust.com/resources/cps

    Signature Algorithm: sha1WithRSAEncryption
         82:bc:a7:50:e1:36:7c:c0:67:cc:40:56:7b:22:a2:c2:98:2c:
         01:12:b0:6f:0d:01:97:4e:a6:19:5a:d0:eb:61:22:c8:6e:05:
         07:a2:97:2a:4e:4f:0b:a4:af:f4:3b:2c:42:e4:21:6d:4a:b1:
         e8:47:2c:71:56:fb:ec:49:59:97:a7:0f:54:f2:0e:06:cf:e7:
         6a:4c:f7:33:d1:21:aa:bb:e2:a2:c1:85:8e:46:02:e5:e9:93:
         eb:4e:aa:a5:78:e0:bc:94:a6:58:9d:b4:53:98:21:48:48:4c:
         94:dd:3a:96:79:3d:08:ed:25:6c:16:31:1b:e3:a8:9d:4f:7e:
         c7:9e:bf:d7:c5:06:e0:2e:05:94:54:7a:13:71:a7:8a:24:18:
         e1:c3:51:16:e7:02:0d:07:71:e7:ae:d8:27:ed:7c:2b:ba:b7:
         16:ac:95:50:f0:a4:30:1b:f4:4a:6b:ca:7a:f4:b4:f4:cb:d3:
         29:87:a5:b6:03:59:94:c0:f3:7c:91:ee:e7:37:69:3f:b1:fe:
         06:a6:62:12:91:30:c5:63:e0:f9:9f:af:a5:dd:de:15:b8:b6:
         e7:df:78:7a:97:e7:a6:cc:f1:57:e2:b9:00:59:b1:52:03:9c:
         de:b4:e5:4f:45:22:8a:69:26:5b:27:ca:45:98:d9:c3:5a:32:
         d5:f7:27:c2

E aqui está a saída de openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout no "problem computer", executando o Ubuntu 14.04 a partir de uma chave USB. Observe o atributo Validade aqui que mostra o certificado válido que expira em Dec 5 14:21:24 2015 GMT : 

ubuntu@ubuntu:~$ openssl s_client -tls1_2 -connect a.contoso.com:443 -servername a.contoso.com | openssl x509 -text -noout
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=19:self signed certificate in certificate chain
verify return:0
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 686155 (0xa784b)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CA
        Validity
            Not Before: Dec  1 23:03:54 2014 GMT
            Not After : Dec  5 14:21:24 2015 GMT
        Subject: serialNumber=AEv6bwWEDDnubjaF1huAIm7G/hgmDTWE, OU=GT24051799, OU=See www.geotrust.com/resources/cps (c)14, OU=Domain Control Validated - QuickSSL(R), CN=a.contoso.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d3:48:ca:32:bb:e9:a3:f9:75:35:71:f2:c0:78:
                    2b:22:60:8d:36:91:20:46:d0:d4:09:d0:8d:fa:3e:
                    e2:bc:23:f6:c1:fc:03:2a:9a:79:da:12:e8:d2:1d:
                    b2:09:df:af:21:42:94:5c:88:68:43:51:57:40:26:
                    d1:b2:51:93:59:5e:ba:2f:41:de:c1:5c:04:e3:66:
                    a3:13:d5:87:de:71:83:cc:03:2a:06:c1:66:29:12:
                    c8:a5:32:91:74:0a:40:87:d4:e7:d8:32:c3:7e:aa:
                    57:75:c0:0e:19:75:27:9a:08:40:8c:1a:90:ab:e6:
                    3a:e7:8c:47:25:ec:d0:61:07:e2:da:a6:86:43:fa:
                    2b:40:0b:37:c2:63:7b:57:4e:fd:3a:54:ce:f9:c7:
                    b7:38:c1:2c:65:76:91:7e:84:85:90:c6:3e:65:5d:
                    e7:57:2f:2f:63:5a:ec:6b:77:6a:9e:9f:2b:f1:40:
                    c6:8f:14:77:ce:ee:3f:f1:e8:87:5f:a0:c0:18:39:
                    8b:63:df:a7:3a:68:39:c1:dc:9b:48:ec:65:75:07:
                    30:b2:6d:91:e8:42:41:cb:a7:33:64:01:21:e2:39:
                    ab:9d:64:7d:b2:24:2c:2c:69:b3:b1:36:ab:ed:93:
                    eb:3d:be:0f:2f:b3:13:47:78:ea:be:77:54:e2:be:
                    ba:71
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:8C:F4:D9:93:0A:47:BC:00:A0:4A:CE:4B:75:6E:A0:B6:B0:B2:7E:FC

            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                DNS:a.contoso.com
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://gtssldv-crl.geotrust.com/crls/gtssldv.crl

            X509v3 Subject Key Identifier:
                B5:10:8A:28:BE:B2:E8:EA:D2:0C:A9:0B:78:BF:1A:4C:FF:CB:70:BE
            X509v3 Basic Constraints: critical
                CA:FALSE
            Authority Information Access:
                OCSP - URI:http://gtssldv-ocsp.geotrust.com
                CA Issuers - URI:http://gtssldv-aia.geotrust.com/gtssldv.crt

            X509v3 Certificate Policies:
                Policy: 2.16.840.1.113733.1.7.54
                  CPS: http://www.geotrust.com/resources/cps

    Signature Algorithm: sha1WithRSAEncryption
         8c:da:2b:78:4e:bf:6e:d8:48:4f:2c:e5:5a:06:18:d7:39:99:
         fd:29:9d:c4:c3:e4:6b:54:82:df:96:c2:84:49:e1:f6:2c:62:
         e0:61:b8:5d:7c:ce:db:38:ab:5f:1c:79:e5:c3:d4:f1:35:2e:
         6c:8e:a2:60:f1:69:9f:41:54:0d:f4:1c:76:5e:46:33:60:a1:
         bb:22:a9:ca:a2:14:a2:6c:e5:c6:80:dd:cb:e7:0e:f2:8a:5e:
         b0:e7:cb:d4:72:3d:01:4f:58:42:9c:7c:81:1f:6e:22:10:0f:
         de:1c:d4:54:cd:8e:5c:4b:35:5f:5a:af:b0:78:9f:60:56:1b:
         10:64:2d:b7:39:55:be:e2:14:b8:27:5c:af:0e:63:03:27:6a:
         bd:a7:14:27:5d:fc:a3:d1:27:3b:e9:23:11:10:63:7d:77:2b:
         b2:db:2e:14:d5:e6:eb:80:6d:fc:bd:af:bb:14:9d:28:9c:91:
         a4:16:b5:4b:70:4d:54:df:5b:0f:3e:83:40:02:cd:56:fd:7a:
         4c:a9:06:2b:45:40:ce:8e:ec:6c:6c:1b:b1:a8:c5:56:fd:60:
         dc:f1:bc:7d:27:63:eb:b7:99:d9:ec:8f:63:d7:a0:b6:7b:ea:
         b0:1e:b2:4c:89:0c:11:c4:c2:dd:1f:e7:ef:db:44:23:c8:52:
         37:40:6a:10
    
por mjblay 19.12.2014 / 09:34

1 resposta

1

Resposta: O Win 7 operando no "problem computer" teve seu arquivo c:\windows\system 32\drivers\etc\hosts editado. a.contoso.com foi codificado para apontar para um determinado endereço IP (digamos, AAA.BBB.CCC.90 ). O site em AAA.BBB.CCC.90 ainda funcionava, mas deu certificados expirados. Depois de criar um novo site com novos certificados (que estranhamente parecem exatamente iguais ao site antigo) em AAA.BBB.CCC.145 , os desenvolvedores do site devem ter redirecionado o tráfego vinculado para a.contoso.com para o novo site em AAA.BBB.CCC.145 , que estava atendendo a certificados válidos. Eu percebi isso usando uma rota de rastreamento ( tracert ) em um dos computadores que resolveu um.contoso.com para AAA.BBB.CCC.145 . A execução de tracert no "computador com problema" gerou AAA.BBB.CCC.90 . Navegar diretamente para AAA.BBB.CCC.145 no computador com problema resultou em um bom site com um certificado válido! Depois que eu removi a linha no arquivo host do "problema computador" direcionando o tráfego diretamente para AAA.BBB.CCC.90 , tudo funciona muito bem.

Agora, parece que o problema não estava com os certificados do Win 7. O problema era que essa máquina direcionava seu tráfego para um site antigo e obsoleto com certificados antigos e vencidos porque o endereço desse site era codificado em seu arquivo de hosts.

Obrigado a todos por me ajudarem a chegar a essa conclusão e resolver esse problema.

    
por 28.12.2014 / 22:32

Tags

Eu joguei um vídeo online no html5 player no google chrome, onde ele é armazenado no meu armazenamento local? Perdi minha fonte de largura fixa em chrome no windows 7