Tengo un servidor ejecutándose detrás de SSL (https://es.content-index.ousstatic.com:8443). Recibimos un informe de alguien de que ese certificado SSL era incorrecto:
Sin embargo, parece bueno por nuestra parte. Lo conecté a un verificador SSL (https://www.sslshopper.com/ssl-checker.html#hostname=es.content-index.ousstatic.com:8443) lo que demuestra que el certificado es bueno.
¿Quizás hay alguna mala configuración en la máquina del cliente? ¿Por qué su máquina se quejaría del certificado?
Respuesta1
Hay muchas razones por las que un cliente puede considerar que un certificado no es adecuado. Lo más probable es que el cliente no considere que el certificado está encadenado a un ancla de confianza. Revisaría el sitioLaboratorios SSL de Qualys(que es, en mi opinión, la herramienta de prueba SSL más completa e informativa), pero ese sitio solo admite servicios en el puerto 443, por lo que nos falta información de diagnóstico útil allí.
En este punto, diría que es hora de preguntarle al cliente qué está pasando exactamente, para que pueda reproducir el problema con una configuración similar.
Respuesta2
Dado que parece que el cliente es un navegador web normal, sugeriría que el problema no es el navegador en sí, sino que se está produciendo alguna interceptación de SSL. Esto es muy típico de los escáneres de virus del lado del cliente actuales (que generalmente colocan la CA proxy necesaria en el almacén de CA del sistema) o para algunos middleboxes como firewalls en entornos corporativos. Por lo general, en este caso, otros sitios SSL también fallarán, pero también puede ser que haya algún manejo especial debido al puerto no estándar.
Una mirada al certificado y la cadena tal como se entregan en el navegador del cliente probablemente ayudará a solucionar el problema.
Respuesta3
¡Sí, claro!Hay muchas posibilidades de que un cliente no acepte un certificado que de otro modo sería válido. Éstos son sólo algunos de los más comunes:
- Hora de cliente no válida.Esta es la causa más común (es decir, cuando la batería del BIOS está vacía), aunque probablemente no sea eso lo que le molesta.
- Nombre de dominio incorrecto.Esto suele deberse a subdominios que no están incluidos en el certificado. Este es un posible error del cliente si su navegador no admiteSNI, controlaraquí. La mayoría de los navegadores modernos admiten esto desde hace mucho tiempo, la excepción es el navegador de una gran empresa de software que seguramente conoces;)
- Cifrado inseguro.No sé acerca de otros navegadores, pero Chrome recientemente comenzó a mostrar conexiones que usan https pero usan un cifrado que consideran inseguro (RC4, SHA1).tan inseguro. Su cliente usa Chrome, por lo que esta es una opción. Para mí, muestra que la conexión es segura, pero puede que esté desactualizada.
Ataque de hombre en el medio.La advertencia que el navegador siempre muestra pero de todos modos nadie se molesta en leer. Puede tratarse de un atacante real que intenta rastrear datos o de un proxy de una empresa que intenta espiar lo que sucede en un puerto exótico. Además, algunos AV ysoftware publicitariose mete con su almacén de certificados https.
CA no válida.Esto es poco común, pero cuando se presenta, las causas son difíciles de localizar. Esto comienza cuando algunos navegadores no aceptan una CA específica (es decir, CACert está bloqueado en Firefox). Algunos navegadores tienen su propio almacén de certificados (Firefox nuevamente), mientras que otros dependen del almacén de certificados del sistema, lo cual es aún peor. ¿Por qué? Porque, a excepción del software AV, Ad y NSA que interfiere con su almacén de certificados en todas sus versiones de Windows, también tiene el problema de la variedad de aceptación específica de la distribución y las políticas de la empresa que instalan las suyas propias. Si una empresa tiene un proxy AV, deberá buscar su almacén de certificados. Y esto puede ser específico del software proxy. Si este es tu problema, buena suerte.
Es difícil decir exactamente cuál es el problema de sus clientes con tan poca información, pero el problema de un cliente definitivamente está ahí.
Respuesta4
Tiene un iframe en la página que tiene un certificado SSL no válido o no existente.