É possível que um bom certificado ssl falhe no computador de um cliente?

3

Eu tenho um servidor rodando por trás do SSL ( link ). Recebemos um relatório de alguém de que esse certificado SSL era ruim:

Noentanto,parecebomdonossolado.EuoconecteiaumverificadordeSSL( link ) que mostra que o certificado é bom.

Existe algum erro de configuração, talvez, na máquina do cliente? Por que sua máquina reclamaria do certificado?

    
por blockhead 09.10.2015 / 05:43

4 respostas

5

Existem muitas razões pelas quais um cliente pode achar um certificado inadequado. Provavelmente, o cliente não considera o certificado como encadeado a uma âncora de confiança. Eu executei o site por meio do Qualys SSLLabs (que é, de longe, a ferramenta de teste SSL mais abrangente e informativa), mas esse site suporta apenas serviços na porta 443, então estamos perdendo algumas informações úteis de diagnóstico.

Neste ponto, eu diria que é hora de perguntar ao cliente exatamente o que está acontecendo, para que você possa reproduzir o problema com uma configuração semelhante.

    
por 09.10.2015 / 06:39
5

Como parece que o cliente é um navegador normal, sugiro que o problema não seja o navegador em si, mas há alguma interceptação SSL acontecendo. Isso é muito comum em scanners de vírus do lado do cliente (que geralmente colocam a CA de proxy necessária no armazenamento de CAs do sistema) ou em algumas middleboxes, como firewalls, em ambientes corporativos. Normalmente, nesse caso, outros sites SSL também falharão, mas também pode ser que haja algum tratamento especial devido à porta não padrão.

Uma olhada no certificado e na cadeia como entregue ao navegador do cliente provavelmente ajudará a depurar o problema.

    
por 09.10.2015 / 06:54
3

Sim, claro! Existem muitas possibilidades de um cliente não aceitar um certificado válido. Aqui estão alguns comuns:

  • Hora do cliente inválida. Essa é a causa mais comum (ou seja, quando a bateria do BIOS está vazia), apesar de provavelmente não estar incomodando você.
  • Nome de domínio incorreto. Isso geralmente é causado por subdomínios que não estão incluídos no certificado. Este é um possível erro do cliente se o seu navegador não suportar SNI , verifique aqui . A maioria dos navegadores modernos suporta isso há muito tempo, a exceção é o navegador de uma grande empresa de software que você certamente conhece;)
  • Criptografia insegura. Eu não sei sobre outros navegadores, mas o Chrome recentemente começou a mostrar a conexão que está usando https mas usa uma cifra considerada insegura (RC4, SHA1) como inseguro . Seu cliente está usando o chrome, então esta é uma opção. Para mim, mostra a conexão como segura, mas isso pode estar desatualizado.

  • Ataquedotipoman-in-the-middle.Oavisoqueonavegadorsempremostra,masqueninguémincomodaemlerdequalquermaneira.Issopodeseruminvasortentandofarejardadosouumproxydaempresatentandoespionaroqueestáacontecendoemumaportaexótica.Alémdisso,algunsAV-e Ad-software mexe com seu armazenamento de certificados https.

  • CA inválida. Isso é incomum, mas quando você tem, as causas são difíceis de rastrear. Isso começa com alguns navegadores que não aceitam CA específica (ou seja, o CACert está bloqueado no Firefox). Alguns navegadores têm seu próprio armazenamento de certificados (o Firefox novamente) enquanto outros dependem do armazenamento de certificados do sistema, o que é ainda pior. Por quê? Porque com exceção do software AV-, Ad- e NSA mexendo com o seu armazenamento de certificados em todas as suas versões do Windows, você também tem o problema de variedade de aceitação específica da distribuição e políticas da empresa instalando suas próprias. Se uma empresa tiver um proxy AV, você precisará ir ao seu armazenamento de certificados. E isso pode ser um software proxy específico. Se este é o seu problema, boa sorte.

É difícil dizer exatamente qual é o problema do seu cliente com tão poucas informações, mas o problema do cliente é mais definido.

    
por 09.10.2015 / 15:26
0

Você tem um iframe na página que possui um certificado SSL inválido / inexistente.

    
por 14.10.2015 / 18:30