TLSCRLFile
En el registro del servidor TLS en caso de OpenSSL peer:
no se pudo aceptar una conexión entrante: desde 127.0.0.1: el handshake TLS con 127.0.0.1 devolvió el código de error 1: \
archivo s3_srvr.c línea 3251: error:14089086: rutinas SSL:ssl3_get_client_certificate:certificate verify failed: \
TLS write fatal alert "unknown CA"
En el registro del servidor TLS en caso de GnuTLS peer:
no se pudo aceptar una conexión entrante: desde 127.0.0.1: el handshake TLS con 127.0.0.1 devolvió el código de error 1: \
archivo rsa_pk1.c línea 103: error:0407006A: rutinas rsa:RSA_padding_check_PKCS1_type_1:\
block type is not 01 archivo rsa_eay.c línea 705: error:04067072: rutinas rsa:RSA_EAY_PUBLIC_DECRYPT:paddin
OpenSSL, en el registro del servidor:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS a [[127.0.0.1]:20004]:\
SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
SSL routines:ssl3_get_server_certificate:certificate verify failed:\
TLS write fatal alert "certificate revoked"
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS a [[127.0.0.1]:20004]:\
SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
SSL routines:ssl3_get_server_certificate:certificate verify failed:\
TLS write fatal alert "certificate expired"
El punto aquí es que con una CRL válida, un certificado revocado se informa como "certificate revoked". Cuando la CRL caduca, el mensaje de error cambia a "certificate expired", lo cual es bastante engañoso.
GnuTLS, en el registro del servidor:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS a [[127.0.0.1]:20004]:\
invalid peer certificate: The certificate is NOT trusted. The certificate chain is revoked.
OpenSSL, en el registro:
error:'self signed certificate: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/statem/statem_clnt.c\
line 1924: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:\
TLS write fatal alert "unknown CA"'
Esto se observó cuando el certificado del servidor por error tenía la misma cadena de Emisor e Sujeto, aunque fue firmado por una CA. Emisor y Sujeto son iguales en el certificado de CA de nivel superior, pero no pueden ser iguales en el certificado del servidor. (Lo mismo aplica para los certificados de proxy y agente).
Para comprobar si un certificado contiene las mismas entradas de Emisor y Sujeto, ejecute:
openssl x509 -in <yourcertificate.crt> -noout -text
Es aceptable que el certificado raíz (de nivel superior) tenga valores idénticos para Emisor y Sujeto.