Why do Chrome and openssl disagree over signature algorithm?
Perché ottengono certificati diversi. Il motivo è che Chrome utilizza Server Name Indication (SNI) mentre openssl s_client
non lo fa, almeno non di default .
Se guardi da vicino, non solo l'algoritmo della firma è diverso ma anche l'oggetto del certificato:
$ openssl s_client -connect winkel.vpro.nl:443 | openssl x509 -text
...
Subject: ... CN=_default_.omroep.nl/[email protected]
...
Signature Algorithm: sha1WithRSAEncryption
Se invece usi SNI usando l'argomento -servername
ottieni lo stesso certificato che hai ottenuto con Chrome:
$ openssl s_client -connect winkel.vpro.nl:443 -servername winkel.vpro.nl | \
openssl x509 -text
...
Subject: C=NL, ST=Noord-Holland, L=Hilversum, O=VPRO, OU=ICT, CN=*.vpro.nl
...
Signature Algorithm: sha256WithRSAEncryption