ssl_error_bad_certificate_domain, Firefox convalida ancora il certificato? [duplicare]

Question

ssl_error_bad_certificate_domain, Firefox convalida ancora il certificato? [duplicare]

#1 da (0 voti)
#2 da (0 voti)

1

Ho un dispositivo NAS privato. Utilizza un certificato SSL autofirmato. Posso importare il cert in Firefox e tutto funziona fintanto che accedo al dispositivo da qualche parte su Internet. La convalida e la crittografia SSL funzionano.

Ora, se provo ad accedere al dispositivo tramite la mia LAN, ricevo un errore da firefox: ssl_error_bad_certificate_domain . Ciò accade perché accedo al dispositivo utilizzando il suo indirizzo IP locale e non utilizzando l'indirizzo web DDNS.

Potrei aggiungere l'indirizzo IP all'elenco dei nomi alternativi soggetto nel certificato, se è statico, per risolvere il problema. Consideriamo il problema, quando non riesco a renderlo statico, ma deve rimanere dinamico.

Ho letto RFC 2818 che

If the client has external information as to the expected identity of the server, the hostname check MAY be omitted. (For instance, a client may be connecting to a machine whose address and hostname are dynamic but the client knows the certificate that the server will present.)

So esattamente che questo certificato è corretto. Quindi, se il server è in grado di identificarsi con la chiave privata, tutto è buono. Ma come faccio a sapere se Firefox controlla il certificato anche se il controllo del nome host fallisce?

firefox tls man-in-the-middle

posta PhilippVerpoort 09.04.2015 - 17:03

fonte

2 risposte

Leggi altre domande sui tag firefox tls man-in-the-middle

SSLV3.0 Poodle Man-in-the-Middle scenario Come orientare il nuovo personale di sviluppo IT [chiuso]

score 0 · Answer 1

Sembra che tu non abbia incluso una sezione subjectAltName nel tuo certificato autofirmato, elencando tutti i nomi di dominio e gli indirizzi IP ai quali accedere al dispositivo NAS.

Anche se a Firefox è stato detto di ignorare che questo certificato non ha emittente di fiducia, non può ancora confermare che l'URL che stai utilizzando sia coperto dall'eccezione di sicurezza.

score 0 · Answer 2

However, I would have to make sure that Firefox actually checks the validity of the certificate, or am I wrong? Does Firefox do that?

Se aggiungi un'eccezione per un certificato a Firefox, l'URL verrà associato solo all'hostname. Se si ottiene lo stesso certificato con un altro nome host, è necessario aggiungere nuovamente l'eccezione.

Se invece si aggiunge il certificato come affidabile al browser, vale a dire non utilizzando un'eccezione ma aggiungendolo all'archivio certificati, verrà utilizzato per la convalida come tutti gli altri certificati attendibili. Ciò significa che verrà validato correttamente solo se il nome fornito nell'URL all'interno del browser corrisponde al nome indicato nel certificato. Se si dispone solo di un IP, è necessario aggiungerlo come tipo IP come oggetto nome alternativo (SAN) e, a causa di alcuni browser buggy, aggiungerlo come tipo DNS. Usare l'IP come nome comune funzionerà con alcuni browser, ma non con tutti. Si noti inoltre che una volta che si ha una voce DNS come SAN, un browser conforme non guarderà più il nome comune, quindi è necessario avere tutti i nomi come SAN.