Dois emissores diferentes de um certificado X.509

Question

Dois emissores diferentes de um certificado X.509

#1 resposta do (3 votos)

1

O link de URL é protegido por TLS. Mozilla Firefox informa que seu certificado é emitido por

CN = TERENA SSL CA 2
O = TERENA
L = Amsterdam
ST = Noord-Holland
C = NL

O comando "openssl" reporta

$ openssl s_client -connect www.info.ucl.ac.be:443
(skipped)
---
Certificate chain
 0 s:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=testwww2.info.ucl.ac.be/[email protected]
   i:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=testwww2.info.ucl.ac.be/[email protected]
---

Diferentes emissores. Como isso é possível?

openssl certificate

por beroal 10.09.2016 / 14:20

1 resposta

Tags openssl certificate

Posso fazer arquivos do cache do Windows a partir do disco na RAM? O que estou fazendo de errado com o grep?

score 3 · Accepted Answer

É simples, na verdade: SNI - Indicação do nome do servidor . É uma extensão que permite ao cliente passar o nome do servidor para o handshake de TLS. Isso, combinado com hospedagem virtual baseada em nome (vários domínios em um único endereço IP) permite que o servidor apresentar certificados diferentes para nomes de host diferentes. O s_client do OpenSSL por padrão não inclui um nome de host no handshake.

O seguinte comando produz o resultado esperado:

openssl s_client -connect www.info.ucl.ac.be:443 -servername www.info.ucl.ac.be

Este servidor aparentemente hospeda vários sites, um dos quais ( o site padrão ) é usado apenas para testes internos, em que os certificados autoassinados são normais .