LINUX.ORG.RU

Проблемы с корневым сертификатом или что-то около того

 , , ,


0

1

Проблема следующего характера. Нужно было тут сынтегрироваться с этими ребятами: incust.com. Ну вроде бы ничего сложного если не одно НО.

При доступе через МТС (телефон в роли модема) браузеры и curl ругаются на ssl сертификат. Openssl возвращает следующее:

openssl s_client -showcerts -connect incust.com:443 </dev/null | openssl x509 -noout -dates
depth=0 C = AU, ST = Some-State, O = Internet Widgits Pty Ltd
verify error:num=18:self signed certificate
verify return:1
depth=0 C = AU, ST = Some-State, O = Internet Widgits Pty Ltd
verify error:num=10:certificate has expired
notAfter=Nov 12 12:46:03 2014 GMT
verify return:1
depth=0 C = AU, ST = Some-State, O = Internet Widgits Pty Ltd
notAfter=Nov 12 12:46:03 2014 GMT
verify return:1
DONE
notBefore=Oct 13 12:46:03 2014 GMT
notAfter=Nov 12 12:46:03 2014 GMT

Если использую местного провайдера через мини микротик (MikroTik hAP Lite), то в Chrome получаю разрыв соединения, curl все так же ругается на сертификат.

openssl s_client -showcerts -connect incust.com:443 </dev/null | openssl x509 -noout -dates
depth=0 C = UA, ST = Kiev, L = Kiev, O = Hosting Ukraine LLC, OU = IT Department, CN = ssl.hosting-admin.net, emailAddress = abuse@ukraine.com.ua
verify error:num=18:self signed certificate
verify return:1
depth=0 C = UA, ST = Kiev, L = Kiev, O = Hosting Ukraine LLC, OU = IT Department, CN = ssl.hosting-admin.net, emailAddress = abuse@ukraine.com.ua
verify error:num=10:certificate has expired
notAfter=Sep  9 14:39:52 2016 GMT
verify return:1
depth=0 C = UA, ST = Kiev, L = Kiev, O = Hosting Ukraine LLC, OU = IT Department, CN = ssl.hosting-admin.net, emailAddress = abuse@ukraine.com.ua
notAfter=Sep  9 14:39:52 2016 GMT
verify return:1
DONE
notBefore=Sep 10 14:39:52 2015 GMT
notAfter=Sep  9 14:39:52 2016 GMT

Вот что пишет curl:

curl --ssl https://incust.com -v
* Rebuilt URL to: https://incust.com/
*   Trying 192.99.62.181...
* TCP_NODELAY set
* Connected to incust.com (192.99.62.181) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
* TLSv1.2 (OUT), TLS alert, Client hello (1):
curl: (60) SSL certificate problem: unable to get local issuer certificate

Что делал, переустанавливал пакет app-misc/ca-certificates. Делал update-ca-certificates. Перезагружался после этого. Результат тот же.

В чем может быть проблема? Какие еще данные нужны для отладки?

★★★★★

Ответ на: комментарий от Radjah

Т.е. их возможно зацепило случайно? А я блин башку сломал себе, думал у меня косяк. Вот отстой...

Но хотелось бы услышать ещё чьё нибудь мнение.

deterok ★★★★★ ()
Ответ на: комментарий от Radjah

В любом случае огромное спасибо сейчас помощь.

deterok ★★★★★ ()
Ответ на: комментарий от Radjah

В любом случае вот что странно. С телефона то нормально открывает...

deterok ★★★★★ ()
Ответ на: комментарий от deterok

Да, это блэклист, я этот сертификат(с такими датами начала/окончания срока действия) регулярно видел, пока не настроил обход блокировок.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от deterok

Значит там трафик идет через другую систему блокировки, которая менее топорная - у больших провайдеров по определению не может быть единой системы блокировки(мы тут говорим о русских провайдерах, Китай с Золотым Щитом не в счёт :-))

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от deterok

Я попробовал через «другого провайдера». Сертификат прошел проверку.

Radjah ★★★★★ ()
Последнее исправление: Radjah (всего исправлений: 1)
Ответ на: комментарий от deterok

curl --ssl https://incust.com -v
* About to connect() to incust.com port 443 (#0)
* Trying 192.99.62.181...
* Connected to incust.com (192.99.62.181) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=incust.com,O=ARoglyph Inc.,L=Alexandria,ST=Virginia,C=US
* start date: фев 03 16:57:00 2016 GMT
* expire date: фев 03 16:57:00 2019 GMT
* common name: incust.com
* issuer: CN=StartCom Class 3 OV Server CA,OU=StartCom Certification Authority,O=StartCom Ltd.,C=IL

GET / HTTP/1.1
User-Agent: curl/7.29.0
Host: incust.com
Accept: */*

< HTTP/1.1 302 Moved Temporarily
< Server: nginx
< Date: Tue, 21 Mar 2017 08:50:30 GMT
< Content-Type: text/html; charset=UTF-8
< Content-Length: 0
< Connection: keep-alive
< Location: https://incust.com/ru/
<
* Connection #0 to host incust.com left intact

Этот правильный?

Слушай, а что мне делать то теперь :)

Присоединяюсь к советам про обход.

imul ★★★★★ ()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Проблема в следующем. Не сильно настраивал тор, но всякое барахло типа pornhub'а открывать стало. Однако этот incust все так же срется. Может дело все же в моей конфигурации. На соседней виндовой машине все ок...

deterok ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Вот тоже самое через тор. Я все же ссылаюсь на некую поломку в системе.

curl --socks5 127.0.0.1:9050 https://incust.com -v
* Rebuilt URL to: https://incust.com/
*   Trying 127.0.0.1...
* TCP_NODELAY set
* SOCKS5 communication to incust.com:443
* SOCKS5 connect to IPv4 192.99.62.181 (locally resolved)
* SOCKS5 request granted.
* Connected to 127.0.0.1 (127.0.0.1) port 9050 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
* TLSv1.2 (OUT), TLS alert, Client hello (1):
curl: (60) SSL certificate problem: unable to get local issuer certificate
deterok ★★★★★ ()

openssl s_client -showcerts -connect incust.com:443 </dev/null | openssl x509 -noout -dates

Не включил SNI. Используй опцию -servername

openssl s_client -showcerts -connect incust.com:443 -servername incust.com </dev/null | openssl x509 -text -noout
Vovka-Korovka ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Все оказалось куда проще :) Старкомовский у них ключик, в gentoo их удалили...

deterok ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.