Помилки сертифікатів на irc.pirateirc.net

0

У мене виникають проблеми з безпечним підключенням до сервера IRC irc.pirateirc.net. gnutls не розпізнає емітента SSL-сертифікату, навіть якщо сертифікат видається звичайним CA (Comodo).

Я спробував використовувати gnutls-cli на Debian 7 (Wheezy) і на Ubuntu 12.04 (Precise). Відбиток пальця сертифіката відповідає даному на веб-сайт pirateirc :

Відбиток SSL (SHA1): 97: 83: 5C: F8: 17: 71: EC: 00: 0E: 24: 5B: 47: 10: 62: 9E: FE: F7: 48: 5A: 15

Чи може хто-небудь сказати мені, що проблема тут?

Дивіться журнал нижче: 

$ gnutls-cli -p 6697 irc.pirateirc.net
Resolving 'irc.pirateirc.net'...
Connecting to '82.94.160.208:6697'...
- Successfully sent 0 certificate(s) to server.
- Ephemeral Diffie-Hellman parameters
 - Using prime: 2048 bits
 - Secret key: 2047 bits
 - Peer's public key: 2048 bits
- Server has requested a certificate.
- Certificate type: X.509
 - Got a certificate list of 5 certificates.
 - Certificate[0] info:
  - subject `OU=Domain Control Validated,OU=EssentialSSL Wildcard,CN=*.pirateirc.net', issuer `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=EssentialSSL CA', RSA key 2048 bits, signed using RSA-SHA1, activated `2012-04-29 00:00:00 UTC', expires `2014-05-29 23:59:59 UTC', SHA-1 fingerprint `97835cf81771ec000e245b4710629efef7485a15'
 - Certificate[1] info:
  - subject `C=SE,O=AddTrust AB,OU=AddTrust External TTP Network,CN=AddTrust External CA Root', issuer `C=SE,O=AddTrust AB,OU=AddTrust External TTP Network,CN=AddTrust External CA Root', RSA key 2048 bits, signed using RSA-SHA1, activated `2000-05-30 10:48:38 UTC', expires `2020-05-30 10:48:38 UTC', SHA-1 fingerprint `02faf3e291435468607857694df5e45b68851868'
 - Certificate[2] info:
  - subject `C=US,ST=UT,L=Salt Lake City,O=The USERTRUST Network,OU=http://www.usertrust.com,CN=UTN-USERFirst-Hardware', issuer `C=SE,O=AddTrust AB,OU=AddTrust External TTP Network,CN=AddTrust External CA Root', RSA key 2048 bits, signed using RSA-SHA1, activated `2005-06-07 08:09:10 UTC', expires `2020-05-30 10:48:38 UTC', SHA-1 fingerprint `867539a26c81fa2d78277c3adfdb304312535e57'
 - Certificate[3] info:
  - subject `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=COMODO Certification Authority', issuer `C=US,ST=UT,L=Salt Lake City,O=The USERTRUST Network,OU=http://www.usertrust.com,CN=UTN-USERFirst-Hardware', RSA key 2048 bits, signed using RSA-SHA1, activated `2006-12-01 00:00:00 UTC', expires `2020-05-30 10:48:38 UTC', SHA-1 fingerprint `3a6c6d0ce8015d1b3b5cae19952e06f9428c7993'
 - Certificate[4] info:
  - subject `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=EssentialSSL CA', issuer `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=COMODO Certification Authority', RSA key 2048 bits, signed using RSA-SHA1, activated `2006-12-01 00:00:00 UTC', expires `2019-12-31 23:59:59 UTC', SHA-1 fingerprint `23bc94154eef52fb485e90665f41c2be809b0667'
- The hostname in the certificate matches 'irc.pirateirc.net'.
- Peer's certificate issuer is unknown
- Peer's certificate is NOT trusted
- Version: TLS1.2
- Key Exchange: DHE-RSA
- Cipher: AES-256-CBC
- MAC: SHA256
- Compression: NULL
- Handshake was completed

- Simple Client Mode:

:amsterdam-nl.pirateirc.net NOTICE * :*** Looking up your hostname...
security  debian  ssl  certificate 
user226022
джерело
@Ramhound, ні, він не має сертифікату.
psusi

Відповіді:

3

Можливо, Commodo не є довіреною CA. Cert, здається, встановлено правильно:

http://www.sslshopper.com/ssl-checker.html#hostname=irc.pirateirc.net:6697

EDIT:

Тільки помітили, ви не обробляєте будь-які сертифікати CA! Я не впевнений, що ви хотіли перевірити gnutls-utils. Дійсність сертифіката?

Пам'ятайте, що SSL заснований на довірі. Ви повинні довіряти комусь (з цього приводу Comodo CA), що сертифікат є дійсним.

спробуйте це для перевірки SSL:

gnutls-cli www.comodo.com

Як і очікувалося, це не вдасться: 

- Peer's certificate issuer is unknown
- Peer's certificate is NOT trusted
- Version: TLS 1.0
- Key Exchange: RSA
- Cipher: ARCFOUR 128
- MAC: SHA
- Compression: NULL
- Handshake was completed

Потім:

wget --no-check-certificate "https://support.comodo.com/index.php?dload=Download&_m=downloads&_a=downloadfile&downloaditemid=87" -O /tmp/AddTrustExternalCARoot.crt

Тепер спробуйте цю ж перевірку:

gnutls-cli --x509cafile /tmp/AddTrustExternalCARoot.crt www.comodo.com

Ви повинні побачити: 

    Processed 1 CA certificate(s).
    Resolving 'www.comodo.com'...
    Connecting to '91.199.212.176:443'...
    - Certificate type: X.509
     - Got a certificate list of 3 certificates.

... 

- Peer's certificate is trusted
- Version: TLS 1.0
- Key Exchange: RSA
- Cipher: ARCFOUR 128
- MAC: SHA
- Compression: NULL
- Handshake was completed
Chris
джерело
Привіт, спасибі за оновлення. Я теж помітив це, але насправді інша проблема з конфігурацією сервера.
user226022
Насправді, проблема полягає в тому, що ланцюжок сертифікатів вийшов з ладу (правильний порядок вимагається стандартом TLS). GnuTLS виконує це правило, тоді як OpenSSL не виконує. Вказує на Кріса, зазначивши, що я фактично не завантажив жоден сертифікат, а також за посиланням на надзвичайно корисну ssl-перевірку!
user226022
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.