openPGP в России / Новости / 2013 / Плановое обновление SSL-сертификата сайта

07.06 // Плановое обновление SSL-сертификата сайта

В ближайшее время будет произведено обновление сертификата сайта, отпечаток приведён ниже:

Subject: description=7vqcSJeuxjr1G22u, C=RU, CN=www.pgpru.com/emailAddress=webmaster@pgpru.com SHA1 Fingerprint=DD:D3:F3:75:0E:6E:1A:CD:0D:92:DC:29:D2:7A:31:5C:1C:B9:FF:0D

На страницу: 1, 2 След.

Комментарии [скрыть комментарии/форму]

—	*Гость* (07/06/2013 15:57) <#>

А почему поле "description" – случайная строка? Какая-то защита?

—	*Гость* (08/06/2013 22:07) <#>

Да, защита от того, чтобы не сойти с ума:

Самым распространенным форматом сертификатов является X.509 v.3, который содержит просто немыслимое количество всякого мусора. Если вы не боитесь сойти с ума, почитайте справочник Питера Гутмана.

—	*Гость* (10/06/2013 02:13) <#>

>А почему поле "description" – случайная строка?

description=7vqcSJeuxjr1G22u

Это намёк на http://7vqcSJeuxjr1G22u.onion, наверно. :)

—	*Гость* (10/06/2013 10:13) <#>

В свойствах сертификата, которые можно просмотреть в firefox, дословно написано

Object Identifier (2 5 4 13) = 7vqcSJeuxjr1G22u

—	*Гость* (22/06/2013 01:53) <#>

SATtva, из-за чего происходят такие проблемы с сертификатом? Проверял и напрямую при подключении к сайту и через Tor. Через TBB иногда работает, иногда нет, а напрямую мне заставить его работать не получилось, вообще на pgpru.com зайти нельзя. Сертификат проверил, он валидный. Есть подозрение, что OSCP с сайтом StartCom сдох по неизвестным причинам, из-за чего firefox не может проверить сертификат на валидность. Это у меня одного такая проблема здесь?

Немного паранои: запустил TBB в Xnest, всё запускается, ОК, сайт тоже, надпись «pgpru.com» подсвечена в строке адреса слева синим цветом, значит, сертификат ОК. Щёлкаю по надписи мышью, чтобы скачать сертификат, и ... не просто вылетает firefox, а вылетает весь Xnest с ошибкой, т.е., иксы, причём воспроизводимо.

Вылет 1:

X Error of failed request:  BadDrawable (invalid Pixmap or Window parameter)
  Major opcode of failed request:  70 (X_PolyFillRectangle)
  Resource id in failed request:  0x0
  Serial number of failed request:  28130
  Current serial number in output stream:  28131
ТЕРМИНАЛ: X connection to ':НОМЕР.0' broken, unable to recover, exiting.
XIO:  fatal IO error 11 (Resource temporarily unavailable) on X server ":НОМЕР.0"
      after 9421 requests (9421 known processed) with 0 events remaining.

Вылет 2:

X Error of failed request:  BadDrawable (invalid Pixmap or Window parameter)
  Major opcode of failed request:  70 (X_PolyFillRectangle)
  Resource id in failed request:  0x0
  Serial number of failed request:  51277
  Current serial number in output stream:  51278
ТЕРМИНАЛ: X connection to ':НОМЕР.0' broken, unable to recover, exiting.
XIO:  fatal IO error 11 (Resource temporarily unavailable) on X server ":НОМЕР.0"
      after 15909 requests (15909 known processed) with 0 events remaining.

Вылет 3:

X Error of failed request:  BadDrawable (invalid Pixmap or Window parameter)
  Major opcode of failed request:  70 (X_PolyFillRectangle)
  Resource id in failed request:  0x0
  Serial number of failed request:  12078
  Current serial number in output stream:  12079
ТЕРМИНАЛ: X connection to ':НОМЕР.0' broken, unable to recover, exiting.
XIO:  fatal IO error 11 (Resource temporarily unavailable) on X server ":НОМЕР.0"
      after 3436 requests (3436 known processed) with 0 events remaining.

С Xephyr ничего не вылетает, всё ОК.

—	*Гость* (22/06/2013 01:58) <#>

P.S. Дословно вот что firefox пишет:

www.pgpru.com uses an invalid security certificate.

The certificate is not trusted because the issuer certificate is unknown.

(Error code: sec_error_unknown_issuer)

—	SATtva (22/06/2013 07:38) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

из-за чего происходят такие проблемы с сертификатом?

Из-за того, что

The certificate is not trusted because the issuer certificate is unknown.

Сертификат StartCom в хранилище есть? Доверие к нему установлено? Вся цепочка была приведена здесь.

Есть подозрение, что OSCP с сайтом StartCom сдох по неизвестным причинам, из-за чего firefox не может проверить сертификат на валидность.

В сертификате pgpru нет расширения OSCP. Если Вы принудительно проверяете через какой-то левый OSCP-сервер, то ССЗБ (см. настройки Firefox > Дополнительные > Настройки OSCP). Так или иначе, при непрохождении проверки OSCP сообщение об ошибке, насколько я помню, другое.

Немного паранои

Только не говорите, что воспроизводится исключительно на pgpru.com.

—	*Гость* (22/06/2013 23:44) <#>

Сертификат StartCom в хранилище есть? Доверие к нему установлено?

Его не надо встраивать, он там по умолчанию вместе с доверием.

Запустил старый профиль, оттуда всё работает. В списке сертификатов числится:

StartCom
Free SSL Certification Authority 95:E6:AD:F8:D7:71:46...	Builtin Object Token
StartCom Certificate Authority 3E:2B:F7:F2:03:1B:96...	Builtin Object Token
StartCom Class 2 Primary Intermediate Server CA A1:AC:E4:04:6B:6E:33...	Software Security Device
StartCom Class 1 Primary Intermediate Server CA F6:91:FC:87:EF:B3:13...	Software Security Device

Чтобы эксперимент был чистый, полностью снёс профиль и запустил firefoх как есть. Версия браузера, очевидно, та же, просто пользователь другой и профиль чистый. Не работает. В списке сертификатов только вот это:

StartCom Ltd
StartCom Certification Authority 3E:2B:F7:F2:03:1B...	Builtin Object Token
Free SSL Certification Authority 95:E6:AD:F8:D7:71...	Builtin Object Token

Экспортировал сертификаты с обоих профилей, поглядел их хэши:

$ md5sum old-profile/*
68a463ad3e6f3b493a051f23abba7cc6  old-profile/FreeSSLCertificationAuthority_-_01
fef8c7c069b85010e982bfdfd6080013  old-profile/StartComCertificationAuthority_-_02
8463c886e28c17d61df0150169c19de0  old-profile/StartComClass1PrimaryIntermediateServerCA_-_04
67e7d4c079ee1991a36c83ebdf174517  old-profile/StartComClass2PrimaryIntermediateServerCA_-_03
$ md5sum new-profile/*
68a463ad3e6f3b493a051f23abba7cc6  new-profile/FreeSSLCertificationAuthority_-_02
fef8c7c069b85010e982bfdfd6080013  new-profile/StartComCertificationAuthority_-_01

Очевидно, в свежесоздаваемом профиле двух сертфикатов не хватает. Почему так могло получиться? Стоит ли их туда добавить вручную? Как-то это очень странно.

В сертификате pgpru нет расширения OSCP. Если Вы принудительно проверяете через какой-то левый OSCP-сервер, то ССЗБ

Нет. Наверное, неудачно выразился. Имелось в виду, что всё по умолчанию, хотя стоят какие-то плагины. Просто подумал, что для проверки сертификата браузером куда-то что-то отсылается и запрашивается, и это OSCP. Видимо, был не прав. Preferences → Advanced → Encryption → Validation → получаем окно Validation Certificate. Всё по умолчанию, ничего там не менял.

Только не говорите, что воспроизводится исключительно на pgpru.com.

Проверил. Сайт DC, который подписан StartCom'ом, тоже не открывается.

P.S. В новых версиях firefox, которые в TBB, в списке сертификатов StartCom ещё есть какой-то «StartCom Certificate Authority G2», который «Builtin Object Token».

—	SATtva (23/06/2013 10:25, исправлен 23/06/2013 10:41) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Понятия не имею, с какой радости, но в текущем TBB отсутствует StartCom Class 1 Intermediate Server CA. Можете взять его по ссылке и импортировать в хранилище сертификатов УЦ (явно устанавливать доверие этому сертификату посредством This certificate can identify websites не надо). Это восстановит цепочку до StartCom Certificate Authority (который в браузере есть), и всё должно заработать.

Похоже на баг TBB. Если кто зарегистрирован на trac.tpo, напишите, пожалуйста, багрепорт.

—	*Гость* (23/06/2013 10:45) <#>

Если кто зарегистрирован на trac.tpo, напишите, пожалуйста, багрепорт.

Unknown зарегистрирован. Я замечал, что под Tor'ом иногда не работает pgpru.com, но конкретно сейчас всё в последней версии TBB открывается. Можно ли TBB сам обновлять список своих сертификатов (вторичных-третичных каких-нибудь)?

—	*Гость* (23/06/2013 10:47) <#>

Можно ли

*Может ли

—	SATtva (23/06/2013 11:24) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Не вижу, как такой функционал можно было бы реализовать. Откуда бы они обновлялись? X.509 предполагает строго однонаправленную иерархию: вышестоящий сертификат подписывает нижестоящий. Вследствие этого, имея только зашитые в браузер сертификаты верхнего уровня обнаружить и загрузить нижестоящие сертификаты невозможно; никакого аналога серверам ключей PGP в системе X.509 тоже нет.

—	sentaus (23/06/2013 12:18) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Понятия не имею, с какой радости, но в текущем TBB отсутствует StartCom Class 1 Intermediate Server CA.

По хорошему сервер должен отдавать клиенту всю цепочку сертификатов исключая корневой, сейчас отдаётся только собственно сертификат сервера. Промежуточных УЦ может быть много, и далеко не факт, что они есть у пользователя. Это можно настроить?

—	SATtva (23/06/2013 12:24) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Верное замечание, Apache это точно поддерживает. Попинаю хостера.

—	SATtva (23/06/2013 15:47) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Сделано. Теперь в TBB открывается без проблем, багрепорт можно не писать. :)

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]