La configurazione del certificato SSL su OS X 10.8.5 produce l'errore "Problemi della catena Contiene ancora"

1

Sto provando ad installare un certificato Thawte SSL123 su OS X 10.8.5, ma ho delle difficoltà. Mentre il certificato e i prodotti intermedi sembrano essere installati senza errori, l'esecuzione del report Qualys Labs SSL genera un messaggio "Problemi di catena Contiene ancora". L'esecuzione di openssl s_client -showcerts -connect externalcortex.com:443 comando mostra un duplicato (vedi sotto)

Qualsiasi aiuto sarebbe molto apprezzato!

CONNECTED(00000003)
depth=3 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=externalcortex.com
   i:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
1 s:/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=externalcortex.com
   i:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
2 s:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
   i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
3 s:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
4 s:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
---
Server certificate
subject=/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=externalcortex.com
issuer=/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 6318 bytes and written 328 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: C88DB986D7A10D5FB17737D335153FF382E61A8564348235746A23B484E5630A
    Session-ID-ctx:
    Master-Key: CDA9E6D3FC8E8E5D7CCA7D3240FCA8E4BECFF3381064AFFE130B2E9DC2E0B471CC01D3C41E22792 5CB8197349606E047
    Key-Arg   : None
    Start Time: 1381459203
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
    
posta Levi 11.10.2013 - 05:00
fonte

1 risposta

5

"Ancoraggio" qui significa trust anchor : nominalmente, la named-and-public-key che è conosciuta a priori dal client SSL, e usata per validare il certificato del server. Tradizionalmente , le ancore di sicurezza sono codificate come certificati, che è una sorta di allungamento perché un numero di campi in un certificato non ha molto senso per un'ancora di fiducia.

In particolare, un certificato ha un campo SubjectDN e un campo IssuerDN , quest'ultimo è uguale al SubjectDN dell'emittente del certificato. Un'ancora di trust non ha emittente, quindi quando l'ancoraggio di trust è codificato come certificato, è abituale per impostare IssuerDN sullo stesso valore di SubjectDN (il certificato è quindi "self -rilasciato"). Questo è ciò che osservi; non è un "duplicato". Allo stesso modo, un certificato è firmato, quindi c'è un campo signature da compilare; le ancore di fiducia sono spesso autofirmate. Un'ancora di fiducia codificata come un certificato autofirmato autofirmato è anche nota come "root attendibile", "certificato radice" o "CA radice" o alcune altre varianti terminologiche.

Quando il server SSL parla con il client SSL, il server invia il certificato come parte di una catena, iniziando con un'ancora di trust e terminando con il certificato del server corretto. Quindi la domanda è: l'ancoraggio di fiducia, supponendo che sia codificato come certificato, deve essere inviato come parte della catena? L'invio di quel certificato è inutile, perché se il client deve convalidare la catena, allora deve già averlo. Tuttavia, è permesso di inviare l'ancora di fiducia. Lo standard dice così :

Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Il tuo server apparentemente invia l'ancora di fiducia. Sarebbe esagerato chiamarlo un "problema": lo standard lo consente. Al massimo, potremmo dire che puoi omettere questo ancoraggio di fiducia senza alcun effetto negativo, e farebbe risparmiare una piccola larghezza di banda (circa 1 kB per full handshake, l'effetto di solito non sarà significativo).

(SSL Labs è noto per assegnare punti critici e pronunciare anatemi su dettagli che sono, in realtà, puramente estetici.)

    
risposta data 11.10.2013 - 05:57
fonte

Leggi altre domande sui tag