클라이언트 컴퓨터에서 좋은 SSL 인증서가 실패할 수 있습니까?

클라이언트 컴퓨터에서 좋은 SSL 인증서가 실패할 수 있습니까?

SSL 뒤에서 실행되는 서버가 있습니다(https://es.content-index.oustatic.com:8443). SSL 인증서가 잘못되었다는 보고를 누군가로부터 받았습니다.

클라이언트의 스크린샷

하지만 우리 쪽에서는 괜찮은 것 같습니다. SSL 검사기에 연결했습니다(https://www.sslshopper.com/ssl-checker.html#hostname=es.content-index.oustatic.com:8443) 이는 인증서가 양호함을 나타냅니다.

아마도 클라이언트 컴퓨터에 잘못된 구성이 있습니까? 그의 컴퓨터가 왜 인증서에 대해 불평할까요?

답변1

클라이언트가 인증서가 부적합하다고 생각하는 데에는 여러 가지 이유가 있습니다. 대부분의 경우 클라이언트는 인증서를 트러스트 앵커에 연결하는 것으로 간주하지 않습니다. 나는 사이트를 통해 사이트를 운영할 것이다Qualys SSLLabs(즉, IMO는 단연 가장 포괄적이고 유익한 SSL 테스트 도구입니다.) 하지만 해당 사이트는 포트 443의 서비스만 지원하므로 유용한 진단 정보가 누락되었습니다.

이제 비슷한 구성으로 문제를 재현할 수 있도록 클라이언트에게 정확히 무슨 일이 일어나고 있는지 물어볼 시간이라고 말하고 싶습니다.

답변2

클라이언트가 일반 웹 브라우저인 것처럼 보이므로 브라우저 자체에는 문제가 없지만 일부 SSL 차단이 진행되고 있다고 제안합니다. 이는 현재 클라이언트 측 바이러스 스캐너(일반적으로 필요한 프록시 CA를 시스템 CA 저장소에 저장) 또는 기업 환경의 방화벽과 같은 일부 미들박스에서 매우 일반적입니다. 일반적으로 이 경우 다른 SSL 사이트도 실패하지만 비표준 포트로 인해 일부 특수 처리가 진행 중일 수도 있습니다.

클라이언트 브라우저에 전달된 인증서와 체인을 살펴보면 문제를 디버깅하는 데 도움이 될 것입니다.

답변3

물론이죠!클라이언트가 유효한 인증서를 수락하지 않는 데에는 여러 가지 가능성이 있습니다. 다음은 몇 가지 일반적인 사항입니다.

  • 클라이언트 시간이 잘못되었습니다.이것이 가장 일반적인 원인입니다(예: BIOS 배터리가 비어 있는 경우). 이는 아마도 사용자를 괴롭히는 것이 아닐 수도 있습니다.
  • 도메인 이름이 잘못되었습니다.이는 일반적으로 인증서에 포함되지 않은 하위 도메인으로 인해 발생합니다. 브라우저가 지원하지 않는 경우 발생할 수 있는 클라이언트 오류입니다.SNI, 확인하다여기. 대부분의 최신 브라우저는 오랫동안 이 기능을 지원하지만, 여러분이 확실히 알고 있는 대형 소프트웨어 회사의 브라우저는 예외입니다.
  • 안전하지 않은 암호화.다른 브라우저에 대해서는 모르겠지만 최근 Chrome에서 https를 사용하지만 안전하지 않다고 간주되는 암호(RC4, SHA1)를 사용하는 연결을 표시하기 시작했습니다.불안한만큼. 귀하의 클라이언트는 크롬을 사용하고 있으므로 이는 옵션입니다. 나에게는 연결이 안전한 것으로 표시되지만 이는 오래되었을 수 있습니다.

약한 암호로 인한 오류입니다. SO 사용자 Knelis의 사진입니다.

  • 중간자 공격.브라우저에는 항상 경고가 표시되지만 어쨌든 아무도 읽지 않습니다. 이는 데이터를 스니핑하려는 실제 공격자일 수도 있고 이국적인 포트에서 무슨 일이 일어나고 있는지 감시하려는 회사 프록시일 수도 있습니다. 또한 일부 AV 및광고 소프트웨어https 인증서 저장소를 엉망으로 만듭니다.

  • CA가 잘못되었습니다.이는 흔하지 않지만, 발생하면 원인을 추적하기가 어렵습니다. 이는 특정 CA를 허용하지 않는 일부 브라우저에서 시작됩니다(예: CACert가 Firefox에서 차단됨). 일부 브라우저에는 자체 인증서 저장소(Firefox)가 있는 반면, 다른 브라우저는 시스템 인증서 저장소에 의존하며 이는 훨씬 더 나쁩니다. 왜? 모든 Windows 버전에서 인증서 저장소를 망가뜨리는 AV, 광고 및 NSA 소프트웨어를 제외하고 배포별 수용 다양성 및 자체 정책을 설치하는 회사 정책 문제도 있습니다. 회사에 AV 프록시가 있는 경우 대신 해당 인증서 저장소를 찾아야 합니다. 그리고 이는 특정 프록시 소프트웨어일 수도 있습니다. 이것이 문제라면 행운을 빕니다.

정보가 너무 적기 때문에 클라이언트의 문제가 무엇인지 정확히 파악하기는 어렵지만 클라이언트 문제는 가장 확실하게 들어 있습니다.

답변4

페이지에 SSL 인증서가 유효하지 않거나 존재하지 않는 iframe이 하나 있습니다.

관련 정보