Chrome ha contrassegnato un sito Web come non sicuro e richiede i dati della mia carta di credito [chiuso]

1

Ho verificato che la CA principale AddTrust External CA Root sia installata nell'archivio certificati di Windows 10. In quale altro modo posso risolvere questo problema dal punto di vista del cliente?

$ openssl s_client -connect service.electrostub.com:443 -tls1_2
depth=2 C = GB, ST = Greater Manchester, L = Salford, 
    O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.electrostub.com
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA 
Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA 
Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority  
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority    
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
    
posta Jacques René Mesrine 18.06.2017 - 04:39
fonte

2 risposte

5
verify error:num=20:unable to get local issuer certificate

Innanzitutto, openssl s_client non sta utilizzando l'archivio certificati di Windows ma richiede un archivio certificati in un formato diverso e in una posizione diversa, e in genere su Windows non è installato nulla. Ecco perché non riesce a trovare la CA radice nel trust store locale che risulta nel messaggio di errore che vedi.

Tuttavia, il certificato viene convalidato correttamente in Edge, IE e Chrome poiché tutti utilizzano il trust store incorporato di Windows. E anche se Firefox non utilizza il trust del sistema operativo integrato, viene fornito con il proprio, che contiene anche la CA radice richiesta.

Il vero motivo per cui il sito viene segnalato non è sicuro perché inoltra il traffico HTTPS al semplice HTTP. Ciò significa che, pur avendo un certificato SSL valido e correttamente installato, potrebbe in teoria utilizzare HTTPS per proteggere la connessione, abbandona esplicitamente HTTPS e obbliga il browser a utilizzare un semplice HTTP non protetto e non protetto:

$ curl -v https://service.electrostub.com
...
< HTTP/1.1 302 Found
...
< Location: http://service.electrostub.com/index.cfm?
            ^^^^^

Se questo è in fase di progettazione o a causa di una errata configurazione del sito che non conosco, anche se è più probabile una configurazione errata. Dal lato client non c'è nulla che tu possa fare per risolvere questo problema. Invece deve essere riparato dagli operatori del server.

    
risposta data 18.06.2017 - 08:09
fonte
3

Questa è una di quelle aree grigie, IMHO. Lo vedo un po 'di rado, e ogni volta mi sconcerta. Sembri sapere cosa significa - quindi salterò qualsiasi spiegazione. :)

Non è qualcosa che proverei a riparare dal lato client, a meno che non sappia che il certificato specifico (incluso il numero di serie e le impronte digitali) corrisponde alla copia del mio archivio di certificati locale. È possibile che la stessa CA intermedia (AddTrust External CA, in questo caso) possa avere altri certificati (che non si trovano nell'archivio certificati locale) in uso.

A parte: quel sito specifico sta reindirizzando https a http. Pertanto, non è consigliabile fornire informazioni sulla carta di credito, anche se la pagina dei pagamenti viene pubblicata con https.

    
risposta data 18.06.2017 - 05:07
fonte

Leggi altre domande sui tag