Zertifikatfehler auf irc.pirateirc.net

0

Ich habe Probleme beim Herstellen einer sicheren Verbindung zum IRC-Server unter irc.pirateirc.net. gnutls erkennt den SSL-Zertifikatsaussteller nicht, obwohl das Zertifikat von einer regulären Zertifizierungsstelle (Comodo) ausgestellt wurde.

Ich habe versucht, gnutls-cli unter Debian 7 (Wheezy) und Ubuntu 12.04 (Precise) zu verwenden. Der Fingerabdruck des Zertifikats stimmt mit dem auf der Pirateirc-Website angegebenen überein :

SSL-Fingerabdruck (SHA1): 97: 83: 5C: F8: 17: 71: EC: 00: 0E: 24: 5B: 47: 10: 62: 9E: FE: F7: 48: 5A: 15

Kann mir jemand sagen, wo das Problem liegt?

Siehe das Protokoll unten:

$ gnutls-cli -p 6697 irc.pirateirc.net
Resolving 'irc.pirateirc.net'...
Connecting to '82.94.160.208:6697'...
- Successfully sent 0 certificate(s) to server.
- Ephemeral Diffie-Hellman parameters
 - Using prime: 2048 bits
 - Secret key: 2047 bits
 - Peer's public key: 2048 bits
- Server has requested a certificate.
- Certificate type: X.509
 - Got a certificate list of 5 certificates.
 - Certificate[0] info:
  - subject `OU=Domain Control Validated,OU=EssentialSSL Wildcard,CN=*.pirateirc.net', issuer `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=EssentialSSL CA', RSA key 2048 bits, signed using RSA-SHA1, activated `2012-04-29 00:00:00 UTC', expires `2014-05-29 23:59:59 UTC', SHA-1 fingerprint `97835cf81771ec000e245b4710629efef7485a15'
 - Certificate[1] info:
  - subject `C=SE,O=AddTrust AB,OU=AddTrust External TTP Network,CN=AddTrust External CA Root', issuer `C=SE,O=AddTrust AB,OU=AddTrust External TTP Network,CN=AddTrust External CA Root', RSA key 2048 bits, signed using RSA-SHA1, activated `2000-05-30 10:48:38 UTC', expires `2020-05-30 10:48:38 UTC', SHA-1 fingerprint `02faf3e291435468607857694df5e45b68851868'
 - Certificate[2] info:
  - subject `C=US,ST=UT,L=Salt Lake City,O=The USERTRUST Network,OU=http://www.usertrust.com,CN=UTN-USERFirst-Hardware', issuer `C=SE,O=AddTrust AB,OU=AddTrust External TTP Network,CN=AddTrust External CA Root', RSA key 2048 bits, signed using RSA-SHA1, activated `2005-06-07 08:09:10 UTC', expires `2020-05-30 10:48:38 UTC', SHA-1 fingerprint `867539a26c81fa2d78277c3adfdb304312535e57'
 - Certificate[3] info:
  - subject `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=COMODO Certification Authority', issuer `C=US,ST=UT,L=Salt Lake City,O=The USERTRUST Network,OU=http://www.usertrust.com,CN=UTN-USERFirst-Hardware', RSA key 2048 bits, signed using RSA-SHA1, activated `2006-12-01 00:00:00 UTC', expires `2020-05-30 10:48:38 UTC', SHA-1 fingerprint `3a6c6d0ce8015d1b3b5cae19952e06f9428c7993'
 - Certificate[4] info:
  - subject `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=EssentialSSL CA', issuer `C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=COMODO Certification Authority', RSA key 2048 bits, signed using RSA-SHA1, activated `2006-12-01 00:00:00 UTC', expires `2019-12-31 23:59:59 UTC', SHA-1 fingerprint `23bc94154eef52fb485e90665f41c2be809b0667'
- The hostname in the certificate matches 'irc.pirateirc.net'.
- Peer's certificate issuer is unknown
- Peer's certificate is NOT trusted
- Version: TLS1.2
- Key Exchange: DHE-RSA
- Cipher: AES-256-CBC
- MAC: SHA256
- Compression: NULL
- Handshake was completed

- Simple Client Mode:

:amsterdam-nl.pirateirc.net NOTICE * :*** Looking up your hostname...
security debian ssl certificate user226022
quelle
@ Ramhound, nein, er hat kein Zertifikat.
Psusi

Antworten:

3

Möglicherweise haben Sie Commodo nicht als vertrauenswürdige Zertifizierungsstelle. Cert scheint korrekt installiert zu sein:

http://www.sslshopper.com/ssl-checker.html#hostname=irc.pirateirc.net:6697

BEARBEITEN:

Gerade bemerkt, Sie verarbeiten keine CA-Zertifikate! Ich bin mir nicht sicher, was Sie überprüfen wollten gnutls-utils. Gültigkeit des Zertifikats?

Denken Sie daran, SSL basiert auf Vertrauen. Sie müssen jemandem vertrauen (in diesem Fall Comodo CA), dass das Zertifikat gültig ist.

Versuchen Sie dies, um SSL zu validieren:

gnutls-cli www.comodo.com

Wie erwartet schlägt dies fehl:

- Peer's certificate issuer is unknown
- Peer's certificate is NOT trusted
- Version: TLS 1.0
- Key Exchange: RSA
- Cipher: ARCFOUR 128
- MAC: SHA
- Compression: NULL
- Handshake was completed

Dann:

wget --no-check-certificate "https://support.comodo.com/index.php?dload=Download&_m=downloads&_a=downloadfile&downloaditemid=87" -O /tmp/AddTrustExternalCARoot.crt

Versuchen Sie nun den gleichen Check:

gnutls-cli --x509cafile /tmp/AddTrustExternalCARoot.crt www.comodo.com

Das solltest du sehen:

    Processed 1 CA certificate(s).
    Resolving 'www.comodo.com'...
    Connecting to '91.199.212.176:443'...
    - Certificate type: X.509
     - Got a certificate list of 3 certificates.

...

- Peer's certificate is trusted
- Version: TLS 1.0
- Key Exchange: RSA
- Cipher: ARCFOUR 128
- MAC: SHA
- Compression: NULL
- Handshake was completed
Chris
quelle
Hallo, danke für das Update. Ich habe das auch bemerkt, aber es gab tatsächlich ein anderes Problem mit der Serverkonfiguration.
user226022
Tatsächlich scheint das Problem zu sein, dass die Zertifikatskette nicht in Ordnung ist (der TLS-Standard verlangt eine korrekte Reihenfolge). GnuTLS erzwingt diese Regel, OpenSSL nicht. Verweist auf Chris, der darauf hingewiesen hat, dass ich keine Zertifikate geladen habe, und auf den Link zum äußerst nützlichen SSL-Checker!
user226022