Connessione non sicura dopo l'installazione dei certificati SSL da Let's Encrypt

Naviga le tue risposte
0

Ho ottenuto 2 certificati emessi da "Let's Encrypt", uno per "crackerscreed.org" e l'altro per "www.crackerscreed.org". Il cPanel sul mio servizio di hosting dice:

When cPanel installs an SSL certificate onto one of your domains, it also installs the same certificate onto that domain’s “www” subdomain, and vice-versa. Unless your certificate matches both domains, however, only one of the two domains will show as a secure site in a user’s web browser.

Attualmente, ho installato il certificato "crackerscreed.org".

Ora, se provo a visitare link funziona perfettamente bene, ma se i visitatori provano a visitare link , ricevono un errore che dice" la connessione non è sicura ". Come posso affrontarlo?

    
posta 7_R3X 02.11.2017 - 19:01
fonte

3 risposte

2

Sembra che tu abbia un problema con

  • capendo come funziona https,
  • ciò che consente di crittografare i certificati può fare e
  • di cosa hai bisogno

Facciamo ciò il più semplice possibile: (Per SNI, vedi sotto)

Hai due certificati per due domini entrambi ospitati sullo stesso IP. Quando un client si connette e chiede un certificato, in che modo il server dovrebbe sapere quale dominio è stato richiesto prima di gestire la richiesta HTTP?

L'handshake TLS (quello in cui il server presenta il suo certificato al browser) viene prima della richiesta http dal browser, altrimenti le richieste non sarebbero crittografate né autenticate.

È qui che entra in gioco SAN (Subject Alternative name): consente di estendere un certificato a domini diversi (ad esempio www.test.com e test.com). Non hai bisogno di due certificati, ma uno per entrambi i domini.

Modifica per riferimento futuro: Oltre ai certificati SAN per più domini, esiste un metodo chiamato SNI (Server Name Indication) che consente al server di conoscere il nome del dominio durante l'handshake. Pertanto, il server può conoscere il nome host al momento giusto e presentare il certificato corretto. Questo può essere più complesso da configurare e mantenere e in questo caso (i due domini che appartengono alla e rappresentano la stessa entità), un certificato di dominio multiplo come descritto sopra fa un lavoro migliore nel rappresentare la situazione rispetto a SNI.

    
risposta data 02.11.2017 - 19:41
fonte
1

Sembra che tu abbia installato il certificato per crackerscreed.org per il nome host www.crackerscreed.org . Poiché questo è solo per crackerscreed.org ma non www.crackerscreed.org significa che l'oggetto / i del certificato non corrisponde al nome host e quindi la convalida del certificato fallisce.
Verifica del certificato restituito dal tuo sito: 

$ openssl s_client -connect www.crackerscreed.org:443 -servername  www.crackerscreed.org |\
  openssl x509 -text
...
    Subject: CN=crackerscreed.org
...
        X509v3 Subject Alternative Name: 
            DNS:crackerscreed.org
    
risposta data 02.11.2017 - 19:08
fonte
1

Durante la creazione della firma, la richiesta di Let's Encrypt il dominio www.crackerscreed.org è stata ignorata dagli argomenti della riga di comando o sostituita dall'altro dominio invece di essere aggiunta.

Devi controllare e correggere di conseguenza la tua riga di comando (sentiti libero di aggiungerla come informazione aggiuntiva al tuo post).

Non dimenticare di utilizzare l'URL della sandbox Let's Encrypt durante il test finché non ottieni i comandi corretti, altrimenti segui il percorso per un divieto di una settimana da Let's Encrypt a causa dei limiti di velocità;).

    
risposta data 02.11.2017 - 19:20
fonte

Leggi altre domande sui tag

Difendendo contro l'impero Perché le firme delle richieste http sono utili? [chiuso]