Dwóch różnych wystawców certyfikatu X.509

1

Adres URL https://www.info.ucl.ac.be/~pvr/ds/ jest chroniony przez TLS. Mozilla Firefox informuje, że jego certyfikat został wydany przez

CN = TERENA SSL CA 2
O = TERENA
L = Amsterdam
ST = Noord-Holland
C = NL

Polecenie „openssl” zgłasza się

$ openssl s_client -connect www.info.ucl.ac.be:443
(skipped)
---
Certificate chain
 0 s:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=testwww2.info.ucl.ac.be/emailAddress=root@testwww2.info.ucl.ac.be
   i:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=testwww2.info.ucl.ac.be/emailAddress=root@testwww2.info.ucl.ac.be
---

Różni emitenci. Jak to w ogóle jest możliwe?

certificate  openssl 
beroal
źródło
Wygląda na to, że jest to stara witryna wykładów i testów informatyki z 2003 roku. Być może łańcuch zaufania między organem root cert (c) a wystawcą (i) wygasł. Wypróbuj inną przeglądarkę.
Sunnyskyguy EE75

Odpowiedzi:

3

To naprawdę proste: SNI - Wskazanie nazwy serwera . Jest to rozszerzenie, które pozwala klientowi przekazać nazwę serwera do uzgadniania TLS. To w połączeniu z wirtualnym hostingiem opartym na nazwach (wiele domen na jednym adresie IP) pozwala serwerowi prezentować różne certyfikaty dla różnych nazw hostów. S_client OpenSSL domyślnie nie zawiera nazwy hosta podczas uzgadniania.

Następujące polecenie daje oczekiwany wynik:

openssl s_client -connect www.info.ucl.ac.be:443 -servername www.info.ucl.ac.be

Serwer ten najwyraźniej hostuje wiele stron internetowych, z których jedna ( strona domyślna ) jest używana tylko do testowania wewnętrznego, gdzie certyfikaty z podpisem własnym są normalne.

Daniel B.
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.