Может ли хороший SSL-сертификат выйти из строя на клиентском компьютере?

Может ли хороший SSL-сертификат выйти из строя на клиентском компьютере?

У меня есть сервер, работающий за SSL (https://es.content-index.oustatic.com:8443). Мы получили сообщение от кого-то о том, что этот SSL-сертификат был плохим:

Скриншот от клиента

Однако, похоже, с нашей стороны все в порядке. Я подключил его к ssl checker (https://www.sslshopper.com/ssl-checker.html#hostname=es.content-index.oustatic.com:8443), что свидетельствует о том, что сертификат хороший.

Может быть, на клиентской машине есть какая-то неверная конфигурация? Почему его машина жалуется на сертификат?

решение1

Существует множество причин, по которым клиент может посчитать сертификат неподходящим. Скорее всего, клиент не считает сертификат связующим с якорем доверия. Я бы прогнал сайт черезQualys SSLLabs(который, по моему мнению, является наиболее полным и информативным инструментом тестирования SSL), но этот сайт поддерживает только службы на порту 443, поэтому нам не хватает некоторой полезной диагностической информации.

На этом этапе я бы сказал, что пришло время спросить клиента, что именно у него происходит, чтобы вы могли воспроизвести проблему с похожей конфигурацией.

решение2

Поскольку клиент выглядит как обычный веб-браузер, я бы предположил, что проблема не в самом браузере, а в некотором перехвате SSL. Это очень типично для современных антивирусных сканеров на стороне клиента (которые обычно помещают необходимый прокси-CA в системное хранилище CA) или для некоторых промежуточных устройств, таких как брандмауэры в корпоративных средах. Обычно в этом случае другие сайты SSL также терпят неудачу, но также может быть, что происходит какая-то специальная обработка из-за нестандартного порта.

Вероятно, изучение сертификата и цепочки, доставленных в браузер клиента, поможет устранить проблему.

решение3

Да, конечно!Существует множество возможностей, по которым клиент может не принять действительный сертификат. Вот лишь несколько распространенных:

  • Неверное время клиента.Это наиболее распространенная причина (например, когда батарея BIOS разряжена), хотя, скорее всего, вас беспокоит не она.
  • Неправильное доменное имя.Обычно это вызвано поддоменами, которые не включены в сертификат. Это возможная ошибка клиента, если ваш браузер не поддерживаетСНИ, проверятьздесь. Большинство современных браузеров поддерживают это уже давно, исключение составляет браузер крупной софтверной компании, которую вы наверняка знаете ;)
  • Небезопасное шифрование.Я не знаю, как в других браузерах, но Chrome недавно начал показывать соединения, использующие https, но использующие шифр, который они считают небезопасным (RC4, SHA1)как небезопасный. Ваш клиент использует Chrome, так что это вариант. Для меня он показывает соединение как безопасное, но это может быть устаревшим.

Ошибка из-за слабого шифра. Фото пользователя SO Knelis.

  • Атака «Человек посередине».Предупреждение, которое браузер всегда показывает, но никто не удосуживается его прочитать. Это может быть реальный злоумышленник, пытающийся перехватить данные, или корпоративный прокси-сервер, пытающийся шпионить за тем, что происходит на экзотическом порту. Также некоторые AV- иРекламное ПОпортит ваше хранилище сертификатов https.

  • Недействительный CA.Это необычно, но когда у вас это есть, причины трудно отследить. Это начинается с того, что некоторые браузеры не принимают определенный CA (например, CACert заблокирован в Firefox). У некоторых браузеров есть собственное хранилище сертификатов (снова Firefox), в то время как другие зависят от системного хранилища сертификатов, что еще хуже. Почему? Потому что кроме программного обеспечения AV, Ad и NSA, которое портит ваше хранилище сертификатов во всех ваших версиях Windows, у вас также есть проблема с разнообразием принимаемых дистрибутивов и политик компании, устанавливающих свои собственные. Если у компании есть прокси-сервер AV, вам вместо этого нужно будет обратиться к его хранилищу сертификатов. И это может быть связано с программным обеспечением прокси-сервера. Если это ваша проблема, удачи.

При таком скудном объеме информации сложно точно сказать, в чем заключается проблема вашего клиента, но проблема у клиента определенно есть.

решение4

На странице имеется один iframe с недействительным или несуществующим сертификатом SSL.

Связанный контент