11 Odpowiedź przez lazik

  • lazik
  • Administrator
  • Nieaktywny
  • Zarejestrowany: 2005-06-27
  • Posty: 1,350

Odp: problem z niepodpisanym certyfikatem

Musisz poprostu dodać najpierw certyfikat nadrzędny. Najlepiej napisz do gregory@systemics.pl by udostępnił certyfikat nadrzędny, który służy do uwierzytelniania właściwego certyfikatu. Poprostu TB nie zezwala na zaufanie certyfikatowi, który jest podpisany przez nieznany, niezaufany nadrzedny urząd certyfikujący.

12 Odpowiedź przez lazik

  • lazik
  • Administrator
  • Nieaktywny
  • Zarejestrowany: 2005-06-27
  • Posty: 1,350

Odp: problem z niepodpisanym certyfikatem

No dobra obadałem serwer zorn.systemics.pl OpenSSLem. Jest tak, że serwer wysyła certyfikat:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Niestety tak jak pisałem certyfikatu nie można zweryfikować gdyż w składniczch brak jest nadrzędnego. Jako jakąś tam podstawę możesz podać te linijki:

SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=0 /C=PL/ST=Mazowieckie/L=Warsaw/O=Systemics Poland Sp. z O.O./OU=Main Systemics Poland Sp. z O.O./CN=zorn.systemics.pl/emailAddress=root@mufasa.systemics.pl
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=PL/ST=Mazowieckie/L=Warsaw/O=Systemics Poland Sp. z O.O./OU=Main Systemics Poland Sp. z O.O./CN=zorn.systemics.pl/emailAddress=root@mufasa.systemics.pl
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=PL/ST=Mazowieckie/L=Warsaw/O=Systemics Poland Sp. z O.O./OU=Main Systemics Poland Sp. z O.O./CN=zorn.systemics.pl/emailAddress=root@mufasa.systemics.pl
verify error:num=21:unable to verify the first certificate

13 Odpowiedź przez lazik

  • lazik
  • Administrator
  • Nieaktywny
  • Zarejestrowany: 2005-06-27
  • Posty: 1,350

Odp: problem z niepodpisanym certyfikatem

Inne programy poprostu pozwalają na pewne przymykanie oka w różnych kwestiach (np. brak certyfikatu nadrzędnego w składnicach lokalnych czy brak wpisów CommonName w certyfikacie jednoznacznie okreslającego serwer połączenia). Czy taka praktyka jest OK? Moim skromnym zdaniem nie. W sprawach bezpieceństwa nie może być kompromisów. Przy tym pamiętać trzeba, że SSL w tym przypadku to coś podobnego jak w przypadku szyfrowania połączeń np. dla banków online. Czy byłbyś w stanie zaakceptować nieświadome narażenie swojego konta? RITsi doszli najwyraźniej do przekonania, iż podstawa to między innymi ograniczenie możliwości nieswiadomej pomyłki użytkownika.

14 Odpowiedź przez lazik

  • lazik
  • Administrator
  • Nieaktywny
  • Zarejestrowany: 2005-06-27
  • Posty: 1,350

Odp: problem z niepodpisanym certyfikatem

Do pełnego szczęścia należałoby albo udostepnić certyfikat nadrzędny w celu weryfikacji lub podpisać go zaufanym CA (thawte, certum itd.) lub też wygenerować nowy tzw. self signed ale w tym przypadku jak i tym pierwszym użytkownik musi mieć świadomość, iż ufa wystawcy certyfikatu.