Как исправить сообщение «Центр сертификации сервера SSL не является доверенным» в браузере?

1060
Hrvoje T

Это началось несколько недель назад. Один из сайтов дает мне сообщение

NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM

You attempted to reach some_web_site.org, but the server presented a certificate signed using a weak signature algorithm (such as SHA-1). This means that the security credentials the server presented could have been forged, and the server may not be the server you expected (you may be communicating with an attacker).

И когда я нажимаю, proceedя получаю:

Reason : The SSL server certificate authority is not trusted,

Это один из государственных сайтов государственной службы.

Со своего брандмауэра я скачал SSL proxy default authorityсертификат в виде файла p12 и установил его в Windows в моем доверенном корневом CA. Этот сертификат действителен до мая 2022 года.

Однако ничего не меняется. Это моя вина или владелец сервера?

Обновление : сайт прекрасно загружается за пределами локальной сети моей организации. Я могу загрузить его через сеть 4G моего мобильного телефона. Мой брандмауэр выполняет веб-фильтрацию и проверку SSL. Означает ли это, что мой прокси-сертификат недействителен? Почему это сработало несколько недель назад, и я ничего не изменил со своей стороны?

Обновление2 Добавлены скриншоты Как исправить сообщение «Центр сертификации сервера SSL не является доверенным» в браузере?

-1
Это проблема, которую должен решить владелец сервера. Они могут даже не знать о проблеме, хотя. Особенно сайты государственных служб обычно должны сначала услышать от своих клиентов, что существует проблема, прежде чем они попытаются ее исправить, а затем, когда они ее услышат, потребуется некоторое время, прежде чем что-то починится. LPChip 5 лет назад 0
Один из способов быть абсолютно уверенным - это не ваша задача: попробуйте использовать разные браузеры и попробуйте использовать разные устройства (ПК, ноутбук, смартфон и т. Д.) LPChip 5 лет назад 0
Из моей локальной сети, через мой брандмауэр он не работает с другими устройствами. Это работает за пределами моей локальной сети, если я иду с моим телефоном с подключением моего мобильного интернет-провайдера. Hrvoje T 5 лет назад 0
Что делать, если вы используете свой телефон с помощью Wi-Fi? Это тогда работает? Мобильные браузеры отличаются от браузеров ПК и, возможно, менее безопасны. Чтобы убедиться в том, что вы испытываете то же самое, протестируйте приложение Chrome на вашем телефоне и настольную версию Chome на вашем компьютере. Я предполагаю, что оба сайта выйдут из строя независимо от того, в какой сети вы находитесь. LPChip 5 лет назад 0
Использование моего Wi-Fi через телефон также не может загрузить сайт. Это Android 8 с последним Chrome. Hrvoje T 5 лет назад 0
Итак ... если ваш телефон, использующий Wi-Fi, не загружает сайт в Chrome, но переход на мобильную связь действительно работает в Chrome, то проблема на вашей стороне. Пожалуйста, отредактируйте свое сообщение, чтобы включить эту информацию, это важно, потому что это делает недействительным ответ. LPChip 5 лет назад 0
Хорошо, но я сказал, что у меня есть брандмауэр с прокси-сертификатом. Hrvoje T 5 лет назад 0

2 ответа на вопрос

3
telcoM

Вы, похоже, правы в своих подозрениях: согласно сообщению об ошибке, ваш прокси-сертификат использует алгоритм подписи SHA-1, который имеет серьезную известную слабость. Время действия не является проблемой; плохой алгоритм есть.

Процесс отказа от алгоритма SHA-1 начался несколько лет назад: с Chrome он начался в 2014 году, поскольку начал отмечать сертификаты конечных объектов, которые использовали SHA-1 и которые действовали после 1 января 2017 года, как «безопасные, но с незначительными ошибки». По прошествии времени и обнаружении новых способов использования уязвимости пометка была расширена пошагово для всех некорневых сертификатов SHA-1 и стала более строгой: теперь любой современный веб-браузер помечает сайт как Сертификат SHA-1 в любом месте своей цепочки сертификатов однозначно плох.

Органы по сертификации, соответствующие базовым требованиям CAB / F, прекратили выпуск любых новых сертификатов SHA-1 в начале 2016 года.

Microsoft также прошла процедуру устаревания сертификатов SHA-1 в 2017 году.

Если ваш брандмауэр / прокси-сервер по-прежнему использует сертификат с алгоритмом подписи SHA-1, похоже, вы какое-то время спали за рулем. Это стало очевидным только сейчас, вероятно, из-за недавнего обновления для системы безопасности, которое, в конце концов, сделало алгоритм SHA-1 категорически не повсеместным.

Вы должны убедиться, что ваш прокси-сервер может использовать сертификаты с лучшими алгоритмами (если он актуален и может обрабатывать современные TLS на веб-сайтах, это, вероятно, уже может), и создать новый SSL proxy default authorityсертификат, который использует SHA256 вместо SHA-1. Вам нужно будет распространить его среди всех клиентов, чей трафик SSL / TLS вы хотите отслеживать. После распространения вы можете переключить свой прокси на использование нового сертификата.

С добавленными скриншотами, похоже, что браузер в основном доволен полученным сертификатом, поскольку в адресной строке есть хороший значок замка. Фактическое сообщение об ошибке отображается вместо содержимого страницы, что заставляет меня думать, что это способ прокси-сервера сообщить об ошибке проверки сертификата в соединении между прокси-сервером и целевым сайтом.

На первом снимке экрана вы просматриваете вне локальной сети, и фактический сертификат сайта можно увидеть. Обратите внимание, что он был недавно обновлен, так как срок его действия начался 15.10.2018. Сертификат CA, используемый для сертификации сайта, - «Thawte RSA CA 2018», поэтому даже сертификату CA не более одного года.

На самом деле вы можете столкнуться с двумя проблемами:

  • браузер был недоволен сертификатом прокси-сервера с устаревшим алгоритмом SHA-1, но в настоящее время он все еще считает, что это простительно.
  • и прокси был недоволен, потому что у него нет промежуточного сертификата «Thawte RSA CA 2018» или его родителя, сертификата «DigiCert Global Root CA» в его собственном хранилище сертификатов доверенного ЦС, и поэтому он не может проверить недавно обновлен актуальный сертификат.

На момент написания этой статьи соответствующие сертификаты Thawte CA и промежуточные сертификаты были доступны здесь.

Могу ли я создать его, или я должен купить его, или мне нужно позвонить в Stormshield, чтобы получить его? Hrvoje T 5 лет назад 0
И как некоторые сайты с https работают нормально, а некоторые нет? Мой фильтр ssl должен проверять весь трафик ssl? Hrvoje T 5 лет назад 0
Если вы не уверены, вам следует обратиться к документации вашего прокси. Но поскольку SSL-прокси-сертификат допускает то, что фактически является атакой «посередине» на зашифрованный трафик SSL / TLS, для вас имеет смысл обработать свой собственный сертификат. Таким образом, только вы (и не компания, занимающаяся брандмауэром) смогут отслеживать трафик в ваших клиентских системах. telcoM 5 лет назад 0
Есть более новые методы, такие как [HPKP] (https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning), [CT] (https://en.wikipedia.org/wiki/Certificate_Transparency) и [DANE] (https: / /en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities), который может использоваться для предоставления браузеру дополнительной информации о сертификате, ожидаемом на конкретном сайте. Ваш прокси не сможет обойти все эти методы. Это может привести к сбою сайтов, которые начали использовать один из этих методов, в то время как другие сайты, которые еще не используют эти методы, все еще будут работать. telcoM 5 лет назад 0
Если проблема вызвана тем, что HPKP или CT объединены с функцией браузера, которая «запоминает» сертификаты, ранее виденные на сайтах HTTPS, у вас могут возникнуть проблемы с пользователями, которым необходимо использовать свои браузеры как внутри, так и за пределами сети компании. (Я ошибаюсь: DANE - это скорее электронная почта.) telcoM 5 лет назад 0
Я добавил несколько скриншотов Hrvoje T 5 лет назад 0
Спасибо за вашу помощь! Теперь мне нужно только найти способ решить эти проблемы. Hrvoje T 5 лет назад 0
Похоже, вы можете найти последние промежуточные и корневые сертификаты Thawte [здесь.] (Https://knowledge.digicert.com/generalinformation/INFO3805.html#links) Если вы добавите их в хранилище доверенных сертификатов CA вашего прокси-сервера (проверьте администратор документация вашего прокси), которая должна разрешать соединения, по крайней мере, с предупреждением браузера о "слабой подписи". Чтобы избавиться от предупреждения браузера, может потребоваться настройка клиентской конфигурации SSL / TLS на стороне прокси-сервера и / или восстановление его сертификата CA с использованием более надежного алгоритма. Техническая поддержка Прокси (Stormshield?), Вероятно, может помочь. telcoM 5 лет назад 0
0
harrymc

Проблема не может быть решена, кроме как тем, что владелец сайта получает соответствующий сертификат SSL.

Это можно обойти, например, в Chrome, добавив к ярлыку параметр --ignore-certificate-errors.

Однако с учетом нынешних ограничений безопасности такие обходные пути имеют короткий срок службы.

Я запустил Chrome с `chrome --ignore-certificate-errors`, но сайт все еще заблокирован. Hrvoje T 5 лет назад 0
К сожалению, Chrome постоянно меняет правила и, по-видимому, не принимает решение об отмене этой конкретной ошибки. Попробуйте, может быть, [этот ответ] (https://superuser.com/a/1054727/8672) для Firefox. harrymc 5 лет назад 0
Невозможно загрузить этот сертификат в сертификаты Firefox Властей, потому что это персональный сертификат firefoy. Затем я попытался импортировать его в «сертификаты людей», и ничего не произошло. Все еще не удается загрузить сайт Hrvoje T 5 лет назад 0
Если обмен комментариями выполнен правильно, это проблема с интернет-соединением, потому что, если я правильно понял OP, в Chrome на телефоне не произойдет, если они отключат Wi-Fi и вместо этого используют мобильное соединение. LPChip 5 лет назад 0
@LPChip: разница может быть в браузере на телефоне. Он также говорит, что это работает за пределами локальной сети его организации, так что это может быть также корпоративный брандмауэр, который отказывается от него. Hrvoje: Если бы у нас был скриншот страницы браузера с ошибкой, мы могли бы знать больше. harrymc 5 лет назад 0
Я добавил скриншоты Hrvoje T 5 лет назад 0
Я все еще думаю, что если вы получаете разные результаты внутри и вне локальной сети организации, вам следует обсудить это с администратором локальной сети. Скриншот страницы ошибки внутри локальной сети может быть полезен. harrymc 5 лет назад 0
Лол, я администратор локальной сети. Как бы я, чем иметь доступ к брандмауэру :) Hrvoje T 5 лет назад 0
Я хотел бы скриншот страницы ошибки в браузере. Как администратор, вы также должны быть в состоянии предоставить подробную информацию о вашем брандмауэре и архитектуре в целом. harrymc 5 лет назад 0
Этот сайт не существовал бы, если бы все знали все. Я не боюсь спрашивать. Что касается ошибки браузера, я уже написал ее в OP `NET :: ERR_CERT_WEAK_SIGNATURE_ALGORITHM`. Тем не менее, я могу взять этот сценарий завтра. Спасибо за вашу помощь. Hrvoje T 5 лет назад 0