Ich verbinde mich über eine Firewall mit einem bestimmten Webserver, aber wenn ich das tue, erhalte ich eine Warnung von der Firewall, dass das Stammzertifikat abgelaufen ist. Wenn ich die Firewall umgehe, sehen alle Browser kein Problem mit den Zertifikaten und wenn ich die Kette überprüfe, sind alle Zertifikate in Ordnung.
Ich habe mir das genauer angesehen und festgestellt, dass der Browser das abgelaufene Zertifikat, das vom Server gesendet wird, tatsächlich durch ein nicht abgelaufenes Zertifikat aus dem Windows-Zertifikatspeicher ersetzt. (Der Server sendet eine Kette aus vier Zertifikaten: Stammzertifikat, Zwischenzertifikat 1, Zwischenzertifikat 2 und Serverzertifikat. Zwischenzertifikat 1 ist abgelaufen. Es wird vom Browser/Betriebssystem ersetzt und wird zum Stammzertifikat für den Browser. Es handelt sich um eine GlobalSign-Zertifikatskette.)
Anscheinend haben sie denselben benutzerfreundlichen Namen und möglicherweise andere ähnliche Eigenschaften (natürlich ist der öffentliche Schlüssel derselbe). Da IE/Chrome dasselbe tun, sieht es ziemlich ähnlich aus wie eine Windows-Funktion, die von Browsern verwendet wird.
Warum passiert das? Wie kann das Zertifikat ersetzt werden und gibt es potenzielle Gefahren, die mir nicht bekannt sind?
Hier ist ein Bild, das den Browser-Viewer und die Paketerfassung vergleicht
Antwort1
ANTWORT: Windows ignoriert CA-Zertifikate, die vom Webserver bereitgestellt werden. Es vergleicht nur das Zertifikat des Webservers mit dem entsprechenden CA-Zertifikat, das im CA-Zertifikatspeicher des Betriebssystems gespeichert ist. Diese Zertifikate werden vom Betriebssystem als vertrauenswürdig eingestuft. Windows verfügt auch über Möglichkeiten, die CA-Zertifikatkette abzurufen, die das Zertifikat des Webservers ausgestellt hat, wenn die Kette nicht bereits im CA-Zertifikatspeicher des Betriebssystems gespeichert ist. Weitere Einzelheiten hierzu finden Sie hier:
Einige Firewalls prüfen vom Webserver gesendete CA-Zertifikate und blockieren den Zugriff, wenn eines der Zertifikate abgelaufen ist. Firewalls verhalten sich in Bezug auf Zertifikate im Allgemeinen anders als normale Betriebssysteme wie Windows.
Wir haben auch erfahren, dass CA-Zertifikate mit unterschiedlichen Seriennummern und Gültigkeitsdaten neu ausgestellt werden können. Das Zertifikat hat denselben „Friendly Name“ und dieselben Schlüsselpaare.
In diesem speziellen Fall sendet der Webserver eine alte Version eines CA-Zertifikats, das zur Kette gehört. Die Firewall erkennt, dass das Zertifikat abgelaufen ist, und blockiert den Zugriff auf die Website. Wenn die Firewall umgangen wird, kann auf die Website zugegriffen werden. Dies geschieht, weil Windows über die neue Version des CA-Zertifikats verfügt und das Zertifikat des Webservers damit vergleicht.