บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

เว็บเบราว์เซอร์แสดงใบรับรอง SSL ปลอมหรือไม่

ธง jp
Mark J. Bobak

ฉันมีสิ่งที่ฉันสามารถอธิบายได้ว่าเป็นปัญหาที่แปลกมาก

เรามีลูกค้าที่เยี่ยมชมเว็บไซต์ของเราแล้วได้รับข้อผิดพลาด SSL: ERR_CERTIFICATE_AUTHORITY_NOT_VALID

เมื่อตรวจสอบอย่างใกล้ชิด ใบรับรองที่แสดงบนเบราว์เซอร์ของพวกเขาคือ ไม่ ใบรับรองของเรา ใบรับรองของเราออกโดย GoDaddy และเป็นใบรับรองตัวแทน ใบรับรองที่มองเห็นได้ในเบราว์เซอร์ของผู้ใช้เมื่อเกิดข้อผิดพลาดนี้คือใบรับรองเว็บไซต์เดียวและออกโดย Cisco และมีอายุเพียง 5 วันเท่านั้น เราไม่มีแม้แต่อุปกรณ์ Cisco ใดๆ และไม่เคยซื้อใบรับรอง SSL จากพวกเขา

นอกจากนี้ สิ่งนี้ไม่ได้เกิดขึ้นกับลูกค้าทุกคน เฉพาะกับบางคนเท่านั้น ปัญหาเกิดขึ้นกับบางคนที่ทำงานในสำนักงาน และบางคนที่ทำงานจากที่บ้าน นอกจากนี้ ปัญหาที่ผู้ใช้ดูเหมือนจะเกิดขึ้นในภูมิภาคใดภูมิภาคหนึ่ง

ในที่สุดปัญหานี้ก็คือ ไม่ ทำซ้ำโดยเรา มันเกิดขึ้นกับ บาง ของลูกค้าของเรา

ช่วย?

ฉันไม่รู้ว่าเกิดอะไรขึ้นที่นี่ มีไฟร์วอลล์หรืออุปกรณ์ VPM ที่สร้างใบรับรองอันธพาลนี้หรือไม่ (น่าจะเป็นอุปกรณ์ Cisco?)

26
0 + 0
vidarlo avatar
ar flag
vidarlo
ความถูกต้องสั้น ๆ รวมกับความจริงที่ว่ามันกล่าวถึง cisco จะทำให้ฉันเดาว่ามันเป็นพร็อกซีสกัดกั้น ssl ที่กำหนดค่าผิดหรืออุปกรณ์ที่เห็นคำเตือนนี้ไม่ได้ติดตั้งใบรับรอง CA มันคงเป็นปัญหาในองค์กรของพวกเขา
4
ตอบกลับ
jp flag
Mark J. Bobak
นั่นคือสิ่งที่ฉันคิด แต่คุณพูดได้ชัดเจนกว่า.... :-) นี่เป็นเรื่องยากที่จะติดตาม เนื่องจากฉันไม่สามารถเข้าถึงเครือข่ายของพวกเขาได้
0
ตอบกลับ
jp flag
Mark J. Bobak
อีกความคิดหนึ่ง: ฉันไม่ใช่ผู้เชี่ยวชาญด้าน SSL แต่อย่างใด แต่ฉันคิดว่าถ้าฉันเป็นเจ้าของโดเมน ฉันจะออกใบรับรอง SSL ให้โดเมนของฉันได้เท่านั้น ฉันมีใบรับรอง \*.example.com ที่ *ควรใช้* แต่อุปกรณ์ของพวกเขากำลังออกใบรับรองเฉพาะ host1.example.com กับผู้ออก Cisco เป็นไปได้อย่างไร?
0
ตอบกลับ
Steffen Ullrich avatar
se flag
Steffen Ullrich
@MarkJ.Bobak: ทุกคนสามารถออกโดเมนใดก็ได้หากพวกเขาใช้ CA ของตนเองแทน CA ที่เชื่อถือได้แบบสาธารณะอย่าง Let's Encrypt เท่านั้น ใบรับรองเหล่านี้จะไม่ได้รับความเชื่อถือจากเบราว์เซอร์ เว้นแต่ว่า CA ของพวกเขาเองจะถูกเพิ่มอย่างชัดแจ้งว่าเชื่อถือได้ ในสภาพแวดล้อมขององค์กร โดยปกติแล้ว CA สำหรับพร็อกซีสกัดกั้น SSL จะถูกเพิ่มไปยังระบบที่ถูกจัดการโดยอัตโนมัติ อาจล้มเหลวหรือผู้ใช้ของคุณใช้อุปกรณ์ของตนเอง (BYOD) โดยไม่มี CA ที่เชื่อถือได้เพิ่มเติมในเครือข่ายของบริษัท ไม่ว่าในกรณีใด คุณไม่สามารถทำอะไรได้ เป็นปัญหากับไคลเอ็นต์และ/หรือเครือข่ายไคลเอ็นต์
2
ตอบกลับ
Appleoddity avatar
ng flag
Appleoddity
ผู้ใช้ปลายทางอยู่เบื้องหลังพร็อกซีหรือตัวกรอง กำลังขัดขวางการเชื่อมต่อและแสดงใบรับรองของตัวเองแทนของคุณ กำลังสกัดกั้นการเชื่อมต่อเพื่อบล็อกหรือทำการตรวจสอบแพ็กเก็ตเชิงลึก (โดยการถอดรหัสทราฟฟิก) อุปกรณ์ของผู้ใช้ปลายทางไม่เชื่อถือใบรับรอง เนื่องจากใครก็ตามที่จัดการพร็อกซี/ตัวกรองไม่ได้ตั้งค่าอย่างถูกต้อง ทุกคนสามารถสร้างใบรับรองด้วยชื่อโดเมนของคุณได้ แต่ไม่มีใครสามารถลงนามโดยผู้ออกใบรับรองที่เชื่อถือได้ ดังนั้นพวกเขาจึงต้องวาง CA ที่ลงนามด้วยตนเองในที่เก็บรูทที่เชื่อถือได้ของอุปกรณ์
2
ตอบกลับ
jp flag
Mark J. Bobak
ขอบคุณสเตฟเฟน ขอบคุณ Appleoddity นั่นสมเหตุสมผลดี และค่อนข้างจะสอดคล้องกับสิ่งที่ฉันสงสัย แม้ว่าฉันจะไม่ได้แสดงออกอย่างชัดเจนก็ตาม ขอบคุณ!
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา