iks 大佬有话说 :
loc 服务器发的证书链信任锚过期了
本帖最后由 iks 于 2020-5-31 18:11 编辑
起因:
还是上个月有mjj发帖说loc被Chrome提示危险,看过一遍证书链发现loc发的证书链有问题
用 OpenSSL 拉取 www.hostloc.com:443 的完整证书链,结果如下:
www.hostloc.com — Sectigo RSA Domain Validation Secure Server CA — USERTrust RSA Certification Authority — AddTrust External CA Root
本来,USERTrust RSA Certification Authority 很早就取得了信任锚(即自签证书已经作为系统根证书内置),但它同时又有2个根证书给他背书(使得老旧系统兼容),其中之一就是 AddTrust External CA Root
AddTrust External CA Root
过期日期 2020/05/30
在Namecheap申请证书,他会发送三级证书链,最下面一条的公钥即USERTrust RSA Certification Authority ,但它指向的签发者是AddTrust External CA Root,这样证书链变成了前述四级,信任锚转移到已经过期的AddTrust External CA Root
出现此类问题,一般的浏览器会修正证书链,即将信任锚取向最晚过期的证书,但兼容性不强,还有些浏览器不会这么做(今天Via和我的Kindle体验版浏览器就报错)
————
下面是建议:
使用 Comodo/Sectigo 证书且证书链包含USERTrust RSA Certification Authority的,将证书链改为 example.com — Sectigo RSA Domain Validation Secure Server CA (也可能是其它的)— USERTrust RSA Certification Authority(信任锚公钥,不是中间信任公钥,签发者是他自己,链接https://censys.io/certificates/e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2/pem)https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
Syc 大佬有话说 :
谁@一下C大,萌新不敢问
iks 大佬有话说 :
还有哈,MySSL.com 扫 www.hostloc.com 证书,发的居然是
主题信息
通用名称(CN) www.hostloc.com
签发者信息
通用名称(CN) AlphaSSL CA – SHA256 – G2
组织(O) GlobalSign nv-sa
国家(C) BE
这张(签两张RSA……)https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
h20 大佬有话说 :
什么年代了,还要解析CA链的浏览器都是辣鸡,OCSP解千愁
iks 大佬有话说 :
h20 大佬有话说 : 2020-5-31 18:23
什么年代了,还要解析CA链的浏览器都是辣鸡,OCSP解千愁
现在浏览器一般都能自寻信任链,缺中间证书都没事(叶子证书有 oid 1.3.6.1.5.5.7.48.2 就能建立证书链)https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
citywar 大佬有话说 :
围观一下 经常有人说过期
Cllp 大佬有话说 :
1 Sent by server www.hostloc.com
Fingerprint SHA256: f98965f2fd36fe37dbcd30221ae2f7ddb2ff9c4b1aacc0a485185d7c1ab3a0f8
Pin SHA256: +lJvPOvHZMJfgI40nC2TVeVbhJ7IYP3uesBYFGoh8b4=
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server AlphaSSL CA – SHA256 – G2
Fingerprint SHA256: ee793643199474ed60efdc8ccde4d37445921683593aa751bbf8ee491a391e97
Pin SHA256: amMeV6gb9QNx0Zf7FtJ19Wa/t2B7KpCF/1n2Js3UuSU=
RSA 2048 bits (e 65537) / SHA256withRSA
3 Sent by server
In trust store GlobalSign Root CA Self-signed
Fingerprint SHA256: ebd41040e4bb3ec742c9e381d31ef2a41a48b6685c96e7cef3c1df6cd4331c99
Pin SHA256: K87oWBWM9UZfyddvDfoxL+8lpNyoUB2ptGtn0fv6G2Q=
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate
根证书都发了:lol
iks 大佬有话说 :
Cllp 大佬有话说 : 2020-5-31 18:35
根证书都发了
什么环境下拉得到Alpha签的这张(3#),反正我本地拉的还是 Sectigo 签的那张https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
nnt 大佬有话说 :
前排围观技术贴 yc007thttps://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
Cllp 大佬有话说 :
iks 大佬有话说 : 2020-5-31 18:38
什么环境下拉得到Alpha签的这张(3#),反正我本地拉的还是 Sectigo 签的那张 …
我这边手机是 Sectigo 电脑是Alpha