Errore TLSv1 dopo aver ricevuto il certificato del server

Question

Errore TLSv1 dopo aver ricevuto il certificato del server

#1 da (4 voti)

5

Sto incontrando un problema strano quando provo ad eseguire una connessione TLS.

So che il mio computer non accetta il certificato del server guardando i log di wireshark.

Questo mi dice che non mi fido della CA che ha firmato il certificato del server, ma ho caricato il certificato che ha firmato il certificato Sever nell'Autorità di certificazione dei certificati attendibili.

Ho persino scaricato il certificato che il server mi sta mandando e ne ho esaminato il percorso per assicurarmi che fosse attendibile. Posso vedere sotto lo stato del certificato che il certificato è OK.

Non sono esattamente sicuro del motivo per cui il mio computer client rifiuta la connessione dal certificato del server.

tls

posta McFrank 03.03.2017 - 16:42

fonte

1 risposta

Leggi altre domande sui tag tls

certificato Google e CAA Come può LetsEncrypt e altri servizi simili verificare la proprietà di un dominio su http non sicuro? [duplicare]

score 4 · Accepted Answer

Ci sono molte ragioni per cui una connessione TLS fallirebbe a parte la fiducia. Dallo screenshot che hai fornito, non è ovvio che l'errore di negoziazione TLS sia causato da " il mio computer non accetta il certificato del server ". Per determinare il problema di attendibilità esatto devi esaminare gli avvisi (messaggi di avviso SSL) e vedere se afferma bad certificate (code 42) , unsupported certificate (43) , certificate revoked (44) , certificate expired (45) o certificate unknown (46) . In Wireshark, sembrerebbe Alert (Level: Fatal, Description: Bad Certificate) .

In particolare, guardando l'acquisizione dei pacchetti, l'ultimo messaggio è Server Hello, Certificate, _Certificate Request_, Server Hello Done . Questo mi dice che il server è configurato per richiedere l'autenticazione reciproca. Pertanto, la prossima risposta prevista è Certificate Message dal client seguita da Certificate Verify . Non lo vedo nel tuo screenshot. In alternativa, Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message poiché alcuni client sono configurati per ignorare l'autenticazione reciproca e il server potrebbe essere configurato per consentire tale comportamento.

Penso che la probabile causa dell'errore di handshake qui sia che il client non supporta / non è configurato per l'autenticazione basata su certificati reciproci.