Регистрация Войти
Рейтинг:0
avatar Server

Веб-браузер представлен с поддельным сертификатом SSL?

флаг jp
Mark J. Bobak

У меня есть то, что я могу охарактеризовать только как очень странную проблему.

У нас есть клиенты, которые при посещении нашего веб-сайта получают ошибку SSL: ERR_CERTIFICATE_AUTHORITY_NOT_VALID

При ближайшем рассмотрении сертификат, представленный их браузеру, нет наш сертификат. Наш сертификат выдан GoDaddy и является групповым сертификатом. Сертификат, видимый в браузере пользователя при возникновении этой ошибки, представляет собой сертификат одного веб-сайта, выданный Cisco и действительный только в течение 5 дней. У нас даже нет никаких устройств Cisco, и мы никогда не покупали у них сертификат SSL.

Кроме того, это происходит не со всеми клиентами, а только с некоторыми. Проблема возникает у некоторых людей, которые работают в офисе, и у некоторых, кто работает дома. Кроме того, проблемные пользователи, похоже, происходят из определенного региона.

Наконец, эта проблема нет воспроизводимые нами. Это происходит только с некоторый наших клиентов.

Помощь?

Я понятия не имею, что здесь происходит. Существует ли брандмауэр или устройство VPM, которое генерирует этот мошеннический сертификат? (Предположительно устройство Cisco?)

26
0 + 0
vidarlo avatar
флаг ar
vidarlo
Короткий срок действия в сочетании с тем фактом, что в нем упоминается cisco, заставит меня предположить, что это прокси-сервер, перехватывающий ssl, который неправильно настроен, или устройства, которые видят это предупреждение, не имеют установленного сертификата CA. Вероятно, проблема в их организации.
4
Ответить
флаг jp
Mark J. Bobak
Примерно так я и думал, но вы выразились более ясно.... :-) Это будет трудно отследить, так как у меня нет доступа к их сети.
0
Ответить
флаг jp
Mark J. Bobak
Еще одна мысль: я ни в коем случае не эксперт по SSL, но я думал, что если бы я владел доменом, только я мог бы выдавать сертификаты SSL для своего домена? У меня есть сертификат \*.example.com, который *следует* использовать, но их устройство выдает определенный сертификат, host1.example.com, с эмитентом Cisco. Как это вообще возможно?
0
Ответить
Steffen Ullrich avatar
флаг se
Steffen Ullrich
@MarkJ.Bobak: Каждый может выдать запрос для любого домена, если он использует свой собственный ЦС вместо общедоступного доверенного ЦС, такого как Let's Encrypt. Только браузеры не будут доверять этим сертификатам, если только их собственный CA не будет явно добавлен как доверенный. В корпоративной среде ЦС для прокси-сервера, перехватывающего SSL, обычно автоматически добавляется к управляемым системам. Либо это не удается, либо ваши пользователи используют свои собственные устройства (BYOD) без дополнительного доверенного ЦС в сети компании. В любом случае ничего не поделаешь, проблема в клиенте и/или клиентской сети.
2
Ответить
Appleoddity avatar
флаг ng
Appleoddity
Конечный пользователь находится за прокси или фильтром. Он перехватывает соединение и представляет свой сертификат вместо вашего. Он перехватывает соединение, чтобы либо заблокировать его, либо выполнить глубокую проверку пакетов (путем расшифровки трафика). Устройство конечного пользователя не доверяет сертификату, потому что тот, кто управляет прокси-сервером/фильтром, не настроил его правильно. Любой может создать сертификат с вашим доменным именем. Но никто не может подписать его ДОВЕРЕННЫМ центром сертификации. Поэтому они должны поместить свой самозаверяющий ЦС в доверенное корневое хранилище устройства.
2
Ответить
флаг jp
Mark J. Bobak
Спасибо, Штеффен, спасибо, Appleoddity, это имеет смысл и в значительной степени совпадает с тем, что я подозревал, хотя я не выразил это так ясно. Спасибо!
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.