Perché OpenSSL mostra CA diverse per mail.google.com:443 rispetto a ciò che mostra Chrome / Firefox? [duplicare]

Naviga le tue risposte
0

Perché openssl mostra una catena di certificati diversa per mail.google.com:443 rispetto a ciò che mostra Chrome / Firefox? 

$ openssl s_client -connect mail.google.com:443 < /dev/null | head -10
depth=2 /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---

L'output sopra mostra che il certificato di livello superiore appartiene a GeoTrust Global CA ed è rilasciato da Equifax Secure Certificate Authority. Il certificato del server viene inviato a mail.google.com.

Ma Chrome e Firefox mostrano che il certificato di primo livello è un certificato di radice autofirmato di GeoTrust Global CA. Il certificato del server sembra essere pubblicato su * .google.com.

AnchedopoaverdisattivatoQUICtramitechrome://flags,nonriescoancoraavedereilcertificatoEquifaxnellacatenadicertificati,sebbeneilcertificatodelserveroravengapubblicatosumail.google.com.

Perché vedo un certificato Equifax diverso in OpenSSL ma non in Firefox / Chrome?

    
posta Lone Learner 04.05.2017 - 16:03
fonte

1 risposta

0

Chrome non sta utilizzando HTTPS come si fa con openssl s_client ma utilizza il protocollo QUIC per accedere al sito. Nella panoramica sulla sicurezza (strumenti per sviluppatori) puoi vedere:

The connection to this site is encrypted and authenticated using a strong protocol (QUIC), a strong key exchange (X25519), and a strong cipher (AES_128_GCM).

Ciò significa che accede a un servizio diverso che fornisce un certificato diverso. Perché offrono un certificato diverso, devi chiedere a Google.

Dopo aver disattivato QUIC in chrome://flags e riavviato il browser, ottieni lo stesso certificato di openssl, ovvero quello per mail.google.com. E la panoramica sulla sicurezza ora mostra:

The connection to this site is encrypted and authenticated using a strong protocol (TLS 1.2), a strong key exchange (ECDHE_ECDSA with X25519), and a strong cipher (AES_128_GCM).

    
risposta data 04.05.2017 - 16:32
fonte

Leggi altre domande sui tag

Quali sono alcuni modi possibili per inviare una richiesta anonima per eseguire nuovamente la scansione di Google? [chiuso] Snort regole uricontent