Як виправити в браузері повідомлення "Повноваження сертифіката сервера SSL не довіряється"?


-1

Це почалося кілька тижнів тому. Один із сайтів дає мені повідомлення

NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM

You attempted to reach some_web_site.org, but the server presented a certificate signed using a weak signature algorithm (such as SHA-1). This means that the security credentials the server presented could have been forged, and the server may not be the server you expected (you may be communicating with an attacker).

І коли натискаю, proceedя отримую:

Reason : The SSL server certificate authority is not trusted.

Це один із державних сайтів громадської служби.

З мого брандмауера я завантажив SSL proxy default authorityсертифікат як файл p12 і встановив його в Windows у своєму надійному кореневому центрі CA. Цей сертифікат діє до травня 2022 року.

Однак нічого не змінюється. Це моя вина чи власник сервера?

Оновлення : Сайт завантажується непогано за межами локальної мережі моєї організації. Я можу завантажити його через мережу 4G свого мобільного телефону. Мій брандмауер робить веб-фільтрацію та перевірку SSL. Чи означає це, що мій сертифікат проксі недійсний? Чому це працювало кілька тижнів раніше, і я нічого не змінив зі свого боку?

Update2 Скріншоти додано введіть тут опис зображення


Це проблема, яку повинен вирішити власник сервера. Вони, можливо, навіть не знають про проблему. Особливо сайти державних служб зазвичай повинні почути від своїх клієнтів спочатку, що існує проблема, перш ніж вони намагаються її виправити, а потім після того, як вони почують її, пройде деякий час, перш ніж все виправиться.
LPChip

Один із способів бути абсолютно впевненим, що це не на вашому кінці: спробуйте з різними браузерами та спробуйте з різними пристроями (ПК, ноутбук, смартфон тощо)
LPChip

З моєї локальної мережі через мій брандмауер він не працює з різними пристроями. Це працює за межами моєї локальної мережі, якщо я переходжу за телефоном до свого мобільного інтернет-провайдера.
Hrvoje T

Що робити, якщо ви використовуєте телефон за допомогою свого Wi-Fi? То це працює? Мобільні браузери відрізняються від ПК-браузерів і, можливо, є менш захищеними. Щоб переконатися у тому, що ви відчуваєте, тестуйте програму Chrome на телефоні та версію настільного комп’ютера Chome на ПК. Я вважаю, що обидва не зможуть отримати сайт, незалежно від того, в якій мережі ви знаходитесь.
LPChip

Використання мого Wi-Fi через телефон також не може завантажити сайт. Це Android 8 із останнім Chrome.
Хрвойо Т

Відповіді:


3

Ви, мабуть, правильні у своїх підозрах: згідно повідомлення про помилку, ваш проксі-сертифікат використовує алгоритм підпису SHA-1, який має серйозну відому слабкість. Час дії не є проблемою; поганий алгоритм є.

Процес знецінення алгоритму SHA-1 розпочався років тому: з Chrome він розпочався в 2014 році, коли він почав позначати сертифікати кінцевих об'єктів, які використовували SHA-1 і діяли з 1 січня 2017 року як "безпечні, але з другорядними помилки ". Із часом і були виявлені нові способи використання слабких місць, позначення поступово поширювалося на всі некореневі сертифікати SHA-1 і робилося більш суворим: до цього часу будь-який сучасний веб-браузер позначатиме сайт із Сертифікат SHA-1 в будь-якому місці його ланцюжка сертифікатів однозначно поганий.

Сертифікаційні органи, що відповідають базовим вимогам CAB / F, припинили видачу будь-яких нових сертифікатів SHA-1 на початок 2016 року.

Microsoft також пройшла процес знецінення сертифікатів SHA-1 у 2017 році.

Якщо ваш брандмауер / проксі все ще використовує сертифікат з алгоритмом підписання SHA-1, схоже, ви деякий час спали за кермом. Це стало очевидним лише зараз, ймовірно, через деякий недавній патч безпеки, який нарешті зробив алгоритм SHA-1 категорично недовіреним скрізь.

Ви повинні переконатися, що ваш проксі може використовувати сертифікати з кращими алгоритмами (якщо він є сучасним і може обробляти сучасні TLS на веб-сайтах, можливо, це вже можливо), і створити новий SSL proxy default authorityсертифікат, який використовує SHA256 замість SHA-1. Вам потрібно буде розповсюдити його серед усіх клієнтів, чий трафік SSL / TLS ви хочете контролювати. Після розповсюдження ви можете переключити проксі на новий сертифікат.

Якщо додані скріншоти, схоже, що браузер насправді задоволений отриманим сертифікатом, оскільки в адресному рядку є хороший значок замка. Замість вмісту сторінки відображається фактичне повідомлення про помилку, що змушує мене думати, що це спосіб проксі повідомити про помилку перевірки сертифікату на з'єднанні проксі з цільовим сайтом.

На першому скріншоті ви переглядаєте за межами локальної мережі, і фактичний сертифікат сайту видно. Зауважте, що оновлено нещодавно, оскільки час його дії розпочався 15.10.2018. Сертифікат CA, який використовується для сертифікації сайту, - "Thawte RSA CA 2018", тому навіть сертифікату CA принаймні один рік.

У вас може виникнути поєднання двох проблем:

  • браузер був незадоволений сертифікатом проксі-сервера із застарілим алгоритмом SHA-1, але поки що він все ще вважає, що це прощається.
  • і проксі був незадоволений, оскільки у нього немає ні проміжного сертифікату "Thawte RSA CA 2018", ні його батьківського, сертифікату "DigiCert Global Root CA" у власному магазині надійних сертифікатів ЦС, і тому він не може перевірити нещодавно, оновлений фактичний сертифікат.

На момент написання цього документа, здається, тут доступні відповідні сертифікати Thawte CA та проміжні сертифікати .


Чи можу я створити його або мені потрібно придбати його або мені потрібно зателефонувати до Stormshield, щоб отримати його?
Хрвойо Т

І як деякі сайти з https працюють нормально, а деякі ні? Мій фільтр ssl повинен перевіряти весь трафік ssl?
Хрвойо Т

Якщо ви не впевнені, вам, мабуть, слід ознайомитися з документацією вашого проксі. Але оскільки сертифікат проксі SSL дозволяє реально атакувати посередницький трафік зашифрованого SSL / TLS, було б доцільно обробляти власний сертифікат. Таким чином, лише ви (а не компанія брандмауера теж) зможете контролювати трафік на ваших клієнтських системах.
telcoM

Існують новіші методи, такі як HPKP , CT та DANE, за допомогою яких браузер може отримати більше інформації про сертифікат, який очікується на певному сайті. Ваш проксі-сервер, можливо, не зможе обійти всі ці методи. Це призведе до виходу з ладу сайтів, які почали використовувати один із цих методів, тоді як інші сайти, які ще не використовують ці методи, все ще працюватимуть.
telcoM

Якщо виявляється, що проблема викликана HPKP або CT, поєднаними з функцією браузера, яка "запам'ятовує" сертифікати, які раніше бачили на сайтах HTTPS, у вас можуть виникнути проблеми з користувачами, яким потрібно користуватися своїми браузерами як всередині компанії, так і за її межами. (Я неправильно запам'ятав: DANE - це більше електронна пошта.)
telcoM

0

Проблему неможливо вирішити, за винятком випадків, коли власник сайту отримає належний сертифікат SSL.

Це можна обробити, наприклад, у Chrome, додавши до ярлика параметр --ignore-certificate-errors.

Однак, при нинішньому зменшенні рівня безпеки, такі обхідні шляхи мають короткий термін служби.


Я почав Chrome chrome --ignore-certificate-errors, але сайт все ще заблокований.
Хрвойо Т

На жаль, Chrome постійно змінює правила і, мабуть, не приймає переосмислення цієї конкретної помилки. Спробуйте, можливо, цю відповідь для Firefox.
harrymc

Неможливо завантажити цей сертифікат у сертифікати Firefox влади, тому що це персональний сертифікат firefoy. Тоді я спробував імпортувати це в 'людей' certs, і нічого не відбувається. Поки не завантажується сайт
Hrvoje T

Якщо обмін коментарями правильний, це проблема в підключенні до Інтернету, тому що якщо я правильно зрозумів ОП, це не відбувається в Chrome на телефоні, якщо вони вимкнуть Wi-Fi і замість цього використовують мобільний зв’язок.
LPChip

@LPChip: різниця може бути в браузері телефону. Він також каже, що це працює поза локальною мережею організації, тому його може відмовити і корпоративний брандмауер. Hrvoje: Якби у нас був скріншот сторінки браузера з помилкою, ми могли б знати більше.
harrymc
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.