Procedura per scoprire se un certificato SSL è affidabile

4

Per fare affari con un'azienda devo cercare link (sito tedesco).

Firefox dice che il certificato non è valido, perché non è firmato da una CA radice affidabile.

Questo è il dato del certificato:

Created for
CN: www.prioenergie.de
Serial: 1A:AE:76:6C:D0:09:24:AC:41:07:2D:27:7E:42:4A:FB

Created by
CN: thawte DV SSL CA - G2
O: thawte, Inc.
OU: Domain Validated SSL

Valid from: 06.11.2014 01:00:00
valid through: 12.09.2017 01:59:59

SHA256 fingerprint: 45:8B:50:A6:21:F1:17:7F:AE:63:24:EE:ED:DA:CE:6A:53:38:C4:AC:F6:48:0D:0A:52:49:F8:B3:07:4E:1B:25

Cosa ho fatto finora:

  • Ho cercato su google l'impronta digitale, ma non ho trovato nulla di utile.
  • Ho scritto un'email alla hotline di supporto e ho detto loro di investigare su questo problema
  • Ho inviato l'URL all'indirizzo SSLLabs e ha ottenuto un voto C, che non è certamente il migliore, ma anche non molto significativo per me.

Quale sarebbe il prossimo passo per scoprire se posso o non posso fidarmi del certificato?

    
posta Thomas Weller 27.11.2014 - 23:05
fonte

3 risposte

4

Se si esegue il comando seguente, si vedrà che quando la persona che gestisce TLS per il server ha sostituito il certificato foglia (il certificato per il server stesso), non ha sostituito la catena (i certificati delle autorità di certificazione che costruiscono la catena della fiducia).

echo |openssl s_client -connect www.prioenergie.de:443 -showcerts 2>&1 |grep -E '^ [0-9 ] (s|i):'

In particolare, il certificato foglia è stato emesso da CN = thawte DV SSL CA - G2 , ma il primo certificato CA nella catena restituita dal server è CN = Thawte DV SSL CA .

Le probabilità sono che la persona che gestisce il server l'abbia testata con Internet Explorer, che cerca di essere permissivo con ciò che accetta camminando con l'AIA se la catena non corrisponde, ma che non segue le specifiche TLS e che in modo non compatibile con il modo in cui si comportano la maggior parte dei client TLS (altri browser come Firefox, OpenSSL, NSS, le librerie TLS Java, ecc.).

Raccomando di contattare l'azienda e far sapere loro che è necessario installare la nuova catena fornita dall'autorità di certificazione (Thawte).

A questo punto, è necessario prendere la decisione aziendale. Abbassi la tua posizione di sicurezza per poter fare affari con questa azienda, basandosi sulla presunzione che si tratti di un errore di configurazione? Oppure decidi che questo non è un rischio accettabile e gestisci l'azienda solo attraverso canali noti e accettabili, come il numero di telefono / fax stampato nella rubrica?

    
risposta data 28.11.2014 - 04:08
fonte
3

Questo è un errore puramente tecnico da parte degli amministratori del sito web. Questo non è un problema di sicurezza.

Si sono semplicemente scambiati il certificato dell'entità finale ma si sono dimenticati di scambiare la catena. Ciò lo rende non valido per alcuni browser.

È richiesto dagli standard che il server web deve presentare questa catena. Ma questa è una cortesia per il cliente e non una caratteristica di sicurezza. (Tutti i membri della catena sono comunque pubblici.)

Tuttavia alcuni browser possono riparare queste catene rotte ("AIA chasing"), alcune no. Questi non possono verificare la fiducia e mostrare un avviso.

Il bit interessante nel rapporto SSL-Labs è questa riga:

link

Chain issues Incomplete, Extra certs

Ora SSL-Labs può eseguire AIA chasing . È così che è stato possibile ottenere il certificato con l'etichetta "download extra".

Gli amministratori hanno fatto un errore. È brutto e dovrebbe essere risolto. Ma non è un problema di sicurezza.

    
risposta data 28.11.2014 - 12:33
fonte
1

Il certificato non è valido. Per definizione non ci si può fidare di esso. Questo è il punto di avere una catena di certificati. In tutte le prove, è semplicemente stato configurato in modo errato; puoi trovare lo stesso problema - dal punto di vista del webmaster - qui .

Potresti interrogare Thawte ... ma non terrei il respiro per una risposta. Probabilmente si sentiranno, abbastanza correttamente, che non è un loro problema.

Puoi fidarti del fornitore "in fede" e accettare temporaneamente il certificato per il tempo necessario per scaricare la tua fattura. È piuttosto improbabile che si tratti di un sito forgiato; ma per ogni evenienza, puoi aspettare un po 'di tempo per vedere se risolvono il problema, o per lo meno riconoscerlo.

    
risposta data 28.11.2014 - 02:46
fonte

Leggi altre domande sui tag