LINUX.ORG.RU
решено ФорумSecurity

Sberbank SSL:unable to get local issuer certificate (Thawte EV RSA CA 2018)

 ,


0

1

Подскажите, в чём проблема с SSL-сертификатом Сбербанка, их сайта developer.sberbank.ru?

$ openssl s_client -connect developer.sberbank.ru:443 | grep -e 'error'
depth=0 businessCategory = Private Organization, jurisdictionC = RU, serialNumber = 1027700132195, C = RU, L = Moscow, O = Sberbank of Russia, OU = CTI, CN = developer.sberbank.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Private Organization, jurisdictionC = RU, serialNumber = 1027700132195, C = RU, L = Moscow, O = Sberbank of Russia, OU = CTI, CN = developer.sberbank.ru
verify error:num=21:unable to verify the first certificate
verify return:1
Verification error: unable to verify the first certificate
^C

Может быть, я как-то неправильно задал команду?

Yandex browser (версия 19.9.3.314) тоже пишет предупреждение: 

Невозможно установить безопасное соединение. 
net::ERR_CERT_AUTHORITY_INVALID

Subject: developer.sberbank.ru

Issuer: Thawte EV RSA CA 2018

Expires on: 22 нояб. 2020 г.

Current date: 24 окт. 2019 г.

PEM encoded chain: ...

В цепочке 3 сертификата:

1	Sent by server 	developer.sberbank.ru
Fingerprint SHA256: 5473baba124baec92685b0fea1df57a87976777fb6b67887602b176b351fde3a
Pin SHA256: cmgIPFRGVkgDST4nB4WBc02+4HbrJCv1sUssaN8+H4k=
RSA 2048 bits (e 65537) / SHA256withRSA

2 	Extra download 	Thawte EV RSA CA 2018
Fingerprint SHA256: 93569b26aa535e3e07c891c6bd2fa9dc0939c24db4b3726ad8531edb17c497ca
Pin SHA256: LrLVqGD+UOnCQjaFUpgBUORdtTIaWwBeJtZ2JTpAm/U=
RSA 2048 bits (e 65537) / SHA256withRSA

3 	In trust store 	DigiCert High Assurance EV Root CA   Self-signed	
Fingerprint SHA256: 7431e5f4c3c1ce4690774f0b61e05440883ba9a01ed00ba6abd7806ed3b118cf
Pin SHA256: WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18=
RSA 2048 bits (e 65537) / SHA1withRSA

И второй сертификат, предполагается, клиент сам найдет (его нет на http сервере), вот у тебя и не работает.

Чекать можно на сайте ssllabs.com например

redwagon
()

Ник кагбе говорит что должно произойти что-то ужасное, но пока ужасное происходит только на компе ТС.
Не стоит пользовать маргинальные браузеры, если любая проблема с ними заставляет пугаться.

Deleted
()
Ответ на: комментарий от redwagon

Это что навроде как тип с ником superhacker спрашивает как записать кали на флешку.

Deleted
()

Все, и особо банки должны срочно отказался от использования https!!!

Пользовался конечно можно, но на предмет безопасности, считать уровень https как обычного http!!!

anonymous
()

ca-certificates какой версии? обновлять пробовал? «Thawte EV RSA CA 2018» там фигурирует?

t184256 ★★★★★
()
Ответ на: комментарий от redwagon

А мне почему-то хочется думать, что это админ сбера таким образом просит нас помочь с настройкой.

t184256 ★★★★★
()
Ответ на: комментарий от Deleted

Не стоит пользовать маргинальные браузеры, если любая проблема с ними заставляет пугаться.

Хм. Правда?

Если посмотреть новости, то всё иначе — июль - октябрь 2019 года:

Правительство одобрило законопроект о предустановке отечественного ПО на «сложные устройства». Под технически сложными товарами имеются в виду, в частности, смартфоны, компьютеры, телевизоры с функцией «смарт-ТВ».

(1) Первый законопроект № 757423-7 — о внесении изменения в статью 4 Закона Российской Федерации «О защите прав потребителей» — гласит, что при продаже «отдельных видов технически сложных товаров» с предварительно установленными программами для электронных вычислительных машин потребителю обеспечивается возможность использования предварительно установленных российских программ для электронных вычислительных машин.

(2) Второй № 757430-7 — о внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях – устанавливает штрафы за продажу отдельных видов технически сложных товаров с предварительно установленными программами для электронных вычислительных машин «с нарушением установленного законодательством о защите прав потребителей требования о предварительной установке российских программ для электронных вычислительных машин».

BruteForceSSL
() автор топика
Ответ на: комментарий от BruteForceSSL

Я не понял что ты хочешь мне сказать.

Deleted
()
Ответ на: комментарий от Deleted

Не стоит пользовать маргинальные браузеры

Перекладывание с больной головы на здоровую.
Сервер не отдал промежуточный сертификат в цепи.

aidaho ★★★★★
()
Ответ на: комментарий от BruteForceSSL

В каком это месте хромой наш ? Набери в своём яндекс бровзере chrome//:flags или chrome//:setting вот это вот всё и ещё много таких команд

anonymous
()
Ответ на: комментарий от aidaho

Так в том то и соль, что не все браузеры знают как и где проверять цепочку. Очень большое количество сайтов не имеют в сертификате промежуточных цепочек, что не мешает им нормально открываться в современных браузерах.

Deleted
()
Ответ на: комментарий от Deleted

По этой логике все реализации ssl обязаны регулярно отыскивать все промежуточные сертификаты в мире и впихивать их в свой бандл.

Это на уровне «зачем гонять html через валидатор, если браузер и так показывает?» и обвинять те, которые не распарсили говнокод, маргинальными.

https://www.ssllabs.com/ssltest/analyze.html?d=developer.sberbank.ru

aidaho ★★★★★
()
Ответ на: комментарий от aidaho

Чего сказать то хотел ?
По ссылке видно, что нормальные браузеры умеют в extra download цепочек с известных центров сертификации. Считаешь зря умеют ?

Deleted
()
Ответ на: комментарий от aidaho

Это же снижает нагрузку по трафику, так как c твоего сервера не всю портянку качают, а только последний. Плюс, получается, защита от BruteForceSSL. А кто хочет чтоб его ssl брутфорсили?

redwagon
()
Ответ на: комментарий от Deleted

Очевидно, что схема доверия предполагает наличие корневых.

aidaho ★★★★★
()
Ответ на: комментарий от redwagon

Это же снижает нагрузку по трафику, так как c твоего сервера не всю портянку качают, а только последний. Плюс, получается, защита от BruteForceSSL. А кто хочет чтоб его ssl брутфорсили?

Это не вопрос трафика (а даже если бы и был, то он копеечный), а вопрос кто должен обеспечивать всю цепочку промежуточных сертификатов для конкретного ресурса. Ресусрс, или реализация ssl?

Да, браузеры, как и всегда, ради доли рынка пошли на поводу и по возможности заткнули щели в корытах, которые наделали сайтоклепатели.

Я не согласен, что это надо ставить в пример и называть остальные реализации плохими.

защита от BruteForceSSL

Тут поподробнее, пожалуйста.

aidaho ★★★★★
()
Ответ на: комментарий от aidaho

защита от BruteForceSSL

Тут поподробнее, пожалуйста.

Это ник ТС, который не смог)

А так да, временами на мобилках не работает всякое из-за неполной цепочки.

redwagon
()

Давно как-то на одном местном казахстанском бухгалтерском форуме умные люди мне подсказали, что, нужно, чтобы был эксперт-компьютерщик-безопасник…

anonymous
()
Ответ на: комментарий от aidaho

Это не вопрос трафика (а даже если бы и был, то он копеечный), а вопрос кто должен обеспечивать всю цепочку промежуточных сертификатов для конкретного ресурса. Да, браузеры, как и всегда, ради доли рынка пошли на поводу и по возможности заткнули щели в корытах.

Согласен.

Я просто не понимаю подхода к безопасности у Сбербанка.

Как будто JFF люди работают. У них была конфа на Yammer, но на security-reports они либо не отвечали, либо отказывались от денежной компенсации тому, кто нашёл дыру. И это было во всём. Я удивляюсь, что до сих пор так. Уже более десяти лет прошло.

BruteForceSSL
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security