Может ли хороший SSL-сертификат выйти из строя на клиентском компьютере?

Question 1

Существует множество причин, по которым клиент может посчитать сертификат неподходящим. Скорее всего, клиент не считает сертификат связующим с якорем доверия. Я бы прогнал сайт черезQualys SSLLabs(который, по моему мнению, является наиболее полным и информативным инструментом тестирования SSL), но этот сайт поддерживает только службы на порту 443, поэтому нам не хватает некоторой полезной диагностической информации.

На этом этапе я бы сказал, что пришло время спросить клиента, что именно у него происходит, чтобы вы могли воспроизвести проблему с похожей конфигурацией.

Answer

Существует множество причин, по которым клиент может посчитать сертификат неподходящим. Скорее всего, клиент не считает сертификат связующим с якорем доверия. Я бы прогнал сайт черезQualys SSLLabs(который, по моему мнению, является наиболее полным и информативным инструментом тестирования SSL), но этот сайт поддерживает только службы на порту 443, поэтому нам не хватает некоторой полезной диагностической информации.

На этом этапе я бы сказал, что пришло время спросить клиента, что именно у него происходит, чтобы вы могли воспроизвести проблему с похожей конфигурацией.

Question 2

Поскольку клиент выглядит как обычный веб-браузер, я бы предположил, что проблема не в самом браузере, а в некотором перехвате SSL. Это очень типично для современных антивирусных сканеров на стороне клиента (которые обычно помещают необходимый прокси-CA в системное хранилище CA) или для некоторых промежуточных устройств, таких как брандмауэры в корпоративных средах. Обычно в этом случае другие сайты SSL также терпят неудачу, но также может быть, что происходит какая-то специальная обработка из-за нестандартного порта.

Вероятно, изучение сертификата и цепочки, доставленных в браузер клиента, поможет устранить проблему.

Answer

Поскольку клиент выглядит как обычный веб-браузер, я бы предположил, что проблема не в самом браузере, а в некотором перехвате SSL. Это очень типично для современных антивирусных сканеров на стороне клиента (которые обычно помещают необходимый прокси-CA в системное хранилище CA) или для некоторых промежуточных устройств, таких как брандмауэры в корпоративных средах. Обычно в этом случае другие сайты SSL также терпят неудачу, но также может быть, что происходит какая-то специальная обработка из-за нестандартного порта.

Вероятно, изучение сертификата и цепочки, доставленных в браузер клиента, поможет устранить проблему.

Question 3

Да, конечно!Существует множество возможностей, по которым клиент может не принять действительный сертификат. Вот лишь несколько распространенных:

Неверное время клиента.Это наиболее распространенная причина (например, когда батарея BIOS разряжена), хотя, скорее всего, вас беспокоит не она.
Неправильное доменное имя.Обычно это вызвано поддоменами, которые не включены в сертификат. Это возможная ошибка клиента, если ваш браузер не поддерживаетСНИ, проверятьздесь. Большинство современных браузеров поддерживают это уже давно, исключение составляет браузер крупной софтверной компании, которую вы наверняка знаете ;)
Небезопасное шифрование.Я не знаю, как в других браузерах, но Chrome недавно начал показывать соединения, использующие https, но использующие шифр, который они считают небезопасным (RC4, SHA1)как небезопасный. Ваш клиент использует Chrome, так что это вариант. Для меня он показывает соединение как безопасное, но это может быть устаревшим.

Атака «Человек посередине».Предупреждение, которое браузер всегда показывает, но никто не удосуживается его прочитать. Это может быть реальный злоумышленник, пытающийся перехватить данные, или корпоративный прокси-сервер, пытающийся шпионить за тем, что происходит на экзотическом порту. Также некоторые AV- иРекламное ПОпортит ваше хранилище сертификатов https.
Недействительный CA.Это необычно, но когда у вас это есть, причины трудно отследить. Это начинается с того, что некоторые браузеры не принимают определенный CA (например, CACert заблокирован в Firefox). У некоторых браузеров есть собственное хранилище сертификатов (снова Firefox), в то время как другие зависят от системного хранилища сертификатов, что еще хуже. Почему? Потому что кроме программного обеспечения AV, Ad и NSA, которое портит ваше хранилище сертификатов во всех ваших версиях Windows, у вас также есть проблема с разнообразием принимаемых дистрибутивов и политик компании, устанавливающих свои собственные. Если у компании есть прокси-сервер AV, вам вместо этого нужно будет обратиться к его хранилищу сертификатов. И это может быть связано с программным обеспечением прокси-сервера. Если это ваша проблема, удачи.

При таком скудном объеме информации сложно точно сказать, в чем заключается проблема вашего клиента, но проблема у клиента определенно есть.

Answer

Да, конечно!Существует множество возможностей, по которым клиент может не принять действительный сертификат. Вот лишь несколько распространенных:

Неверное время клиента.Это наиболее распространенная причина (например, когда батарея BIOS разряжена), хотя, скорее всего, вас беспокоит не она.
Неправильное доменное имя.Обычно это вызвано поддоменами, которые не включены в сертификат. Это возможная ошибка клиента, если ваш браузер не поддерживаетСНИ, проверятьздесь. Большинство современных браузеров поддерживают это уже давно, исключение составляет браузер крупной софтверной компании, которую вы наверняка знаете ;)
Небезопасное шифрование.Я не знаю, как в других браузерах, но Chrome недавно начал показывать соединения, использующие https, но использующие шифр, который они считают небезопасным (RC4, SHA1)как небезопасный. Ваш клиент использует Chrome, так что это вариант. Для меня он показывает соединение как безопасное, но это может быть устаревшим.

Атака «Человек посередине».Предупреждение, которое браузер всегда показывает, но никто не удосуживается его прочитать. Это может быть реальный злоумышленник, пытающийся перехватить данные, или корпоративный прокси-сервер, пытающийся шпионить за тем, что происходит на экзотическом порту. Также некоторые AV- иРекламное ПОпортит ваше хранилище сертификатов https.
Недействительный CA.Это необычно, но когда у вас это есть, причины трудно отследить. Это начинается с того, что некоторые браузеры не принимают определенный CA (например, CACert заблокирован в Firefox). У некоторых браузеров есть собственное хранилище сертификатов (снова Firefox), в то время как другие зависят от системного хранилища сертификатов, что еще хуже. Почему? Потому что кроме программного обеспечения AV, Ad и NSA, которое портит ваше хранилище сертификатов во всех ваших версиях Windows, у вас также есть проблема с разнообразием принимаемых дистрибутивов и политик компании, устанавливающих свои собственные. Если у компании есть прокси-сервер AV, вам вместо этого нужно будет обратиться к его хранилищу сертификатов. И это может быть связано с программным обеспечением прокси-сервера. Если это ваша проблема, удачи.

При таком скудном объеме информации сложно точно сказать, в чем заключается проблема вашего клиента, но проблема у клиента определенно есть.

Question 4

На странице имеется один iframe с недействительным или несуществующим сертификатом SSL.

Answer

На странице имеется один iframe с недействительным или несуществующим сертификатом SSL.

Может ли хороший SSL-сертификат выйти из строя на клиентском компьютере?

решение1

решение2

решение3

решение4

Связанный контент