Điểm:0

Trình duyệt web có chứng chỉ SSL giả?

lá cờ jp

Tôi có những gì tôi chỉ có thể mô tả là một vấn đề rất kỳ lạ.

Chúng tôi có những khách hàng khi họ truy cập trang web của chúng tôi đã gặp lỗi SSL: ERR_CERTIFICATE_AUTHORITY_NOT_VALID

Khi kiểm tra kỹ hơn, chứng chỉ xuất trình cho trình duyệt của họ là không phải giấy chứng nhận của chúng tôi. Chứng chỉ của chúng tôi do GoDaddy cấp và là chứng chỉ ký tự đại diện. Chứng chỉ hiển thị trong trình duyệt của người dùng khi lỗi này xảy ra là một chứng chỉ trang web duy nhất và được cấp bởi Cisco và chỉ có hiệu lực trong 5 ngày. Chúng tôi thậm chí không có bất kỳ loại thiết bị Cisco nào, chúng tôi cũng chưa bao giờ mua chứng chỉ SSL từ chúng.

Ngoài ra, điều này không xảy ra với tất cả khách hàng, chỉ với một số người. Vấn đề đang xảy ra với một số người đang làm việc tại văn phòng và một số người đang làm việc tại nhà. Hơn nữa, vấn đề người dùng dường như bắt nguồn từ một khu vực cụ thể.

Cuối cùng, vấn đề này là không phải tái sản xuất của chúng tôi. Nó chỉ xảy ra với một số của khách hàng của chúng tôi.

Cứu giúp?

Tôi không biết chuyện gì đang xảy ra ở đây. Có thiết bị tường lửa hoặc VPM nào đang tạo chứng chỉ giả mạo này không? (Có lẽ là một thiết bị của Cisco?)

vidarlo avatar
lá cờ ar
Tính hợp lệ ngắn kết hợp với thực tế là nó đề cập đến cisco sẽ khiến tôi đoán đó là một proxy chặn ssl bị định cấu hình sai hoặc các thiết bị nhìn thấy cảnh báo này chưa cài đặt chứng chỉ CA. Đó có thể là một vấn đề trong tổ chức của họ.
lá cờ jp
Đó là những gì tôi đang nghĩ, nhưng bạn đã nói rõ hơn .... :-) Điều này sẽ khó theo dõi, vì tôi không có quyền truy cập vào mạng của họ.
lá cờ jp
Một suy nghĩ khác: Tôi không phải là chuyên gia SSL, nhưng tôi nghĩ nếu tôi sở hữu miền, chỉ tôi mới có thể cấp chứng chỉ SSL cho miền của mình? Tôi có chứng chỉ \*.example.com mà *nên* sử dụng, nhưng thiết bị của họ đang cấp một chứng chỉ cụ thể, host1.example.com, với nhà phát hành Cisco. Làm sao nó có thể xảy ra?
Steffen Ullrich avatar
lá cờ se
@MarkJ.Bobak: Mọi người đều có thể phát hành cho bất kỳ miền nào nếu họ sử dụng CA của chính họ thay vì CA đáng tin cậy công khai như Let's Encrypt. Chỉ những chứng chỉ này sẽ không được các trình duyệt tin cậy trừ khi CA của chính chúng được thêm rõ ràng là đáng tin cậy. Trong môi trường công ty, CA cho proxy chặn SSL thường được tự động thêm vào hệ thống được quản lý. Điều này không thành công hoặc người dùng của bạn sử dụng thiết bị của riêng họ (BYOD) mà không có CA đáng tin cậy bổ sung trong mạng công ty. Trong mọi trường hợp, bạn không thể làm gì được, đó là sự cố với máy khách và/hoặc mạng máy khách.
Appleoddity avatar
lá cờ ng
Người dùng cuối đứng sau proxy hoặc bộ lọc. Nó đang chặn kết nối và xuất trình chứng chỉ của chính nó thay cho chứng chỉ của bạn. Nó đang chặn kết nối để chặn nó hoặc để thực hiện kiểm tra gói sâu (bằng cách giải mã lưu lượng). Thiết bị người dùng cuối không tin tưởng vào chứng chỉ vì bất kỳ ai quản lý proxy/bộ lọc chưa thiết lập đúng. Bất kỳ ai cũng có thể tạo chứng chỉ với tên miền của bạn. Nhưng không phải ai cũng có thể có nó được ký bởi Cơ quan cấp chứng chỉ ĐÁNG TIN CẬY. Do đó, họ phải đặt CA tự ký của mình trong kho lưu trữ gốc đáng tin cậy của thiết bị.
lá cờ jp
Cảm ơn Steffen, cảm ơn Appleoddity, điều đó hoàn toàn hợp lý và khá phù hợp với những gì tôi nghi ngờ, mặc dù tôi không diễn đạt rõ ràng. Cảm ơn!

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.