2 Problemas con el certificado

OpenSSL se usa con CRL y para algunas CA en la cadena de certificados su CRL no está incluida en TLSCRLFile

En el registro del servidor TLS en el caso de un par OpenSSL:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo s3_srvr.c línea 3251: error: 14089086: rutinas SSL: ssl3_get_client_certificate: verificación de certificado fallida: \
           TLS escribe alerta fatal "CA desconocida"
Copy
✔ Copied

En el registro del servidor TLS en el caso de un par GnuTLS:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo rsa_pk1.c línea 103: error:0407006A: rutinas rsa:RSA_padding_check_PKCS1_type_1:\
           el tipo de bloque no es el archivo 01 rsa_eay.c línea 705: error:04067072: rutinas rsa:RSA_EAY_PUBLIC_DECRYPT:paddin
Copy
✔ Copied

CRL expiró o vence durante la operación del servidor

OpenSSL, en el registro del servidor:

  • antes del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           Rutinas SSL:ssl3_get_server_certificate:verificación del certificado fallida:\
           TLS escribe alerta fatal "certificado revocado"
Copy
✔ Copied
  • después del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           Rutinas SSL:ssl3_get_server_certificate:verificación del certificado fallida:\
           TLS escribe alerta fatal "certificado caducado"
Copy
✔ Copied

Lo importante aquí es que con CRL válida se informa un certificado revocado como "certificado revocado". Cuando la CRL caduca, el mensaje de error cambia a "certificado caducado", lo cual es bastante engañoso.

GnuTLS, en el registro del servidor:

  • antes y después del vencimiento lo mismo:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
             Certificado de igual no válido: el certificado NO es de confianza. Se revoca la cadena de certificados.
Copy
✔ Copied

Certificado autofirmado, CA desconocida

OpenSSL, en el registro:

error: 'certificado autofirmado: SSL_connect() establece el código de resultado en SSL_ERROR_SSL: archivo ../ssl/statem/statem_clnt.c\
             línea 1924: error: 1416F086: rutinas SSL: tls_process_server_certificate: verificación de certificado fallida:\
             TLS escribe alerta fatal "CA desconocida"
Copy
✔ Copied

Esto se observó cuando el certificado del servidor por error tenía el mismo emisor. y cadena de asunto, aunque estaba firmada por CA. Emisor y Sujeto son iguales en el certificado de CA de nivel superior, pero no pueden ser iguales en el certificado del servidor. (Lo mismo se aplica a los certificados de proxy y agente).

Para comprobar si un certificado contiene las mismas entradas de Emisor y Asunto, ejecute:

openssl x509 -in <sucertificado.crt> -noout -text

Es aceptable que el certificado raíz (nivel superior) tenga valores idénticos para Emisor y Asunto.

To toggle search highlight, press Ctrl+Alt+H
Have an improvement suggestion for this page? Select the text that could be improved and press Ctrl+Enter to send it to the editors.