全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 1067|回复: 14

loc 服务器发的证书链信任锚过期了

[复制链接]
发表于 2020-5-31 18:10:52 | 显示全部楼层 |阅读模式
本帖最后由 iks 于 2020-5-31 18:11 编辑

起因:
还是上个月有mjj发帖说loc被Chrome提示危险,看过一遍证书链发现loc发的证书链有问题
用 OpenSSL 拉取 www.hostloc.com:443 的完整证书链,结果如下:
www.hostloc.com --- Sectigo RSA Domain Validation Secure Server CA --- USERTrust RSA Certification Authority --- AddTrust External CA Root
本来,USERTrust RSA Certification Authority 很早就取得了信任锚(即自签证书已经作为系统根证书内置),但它同时又有2个根证书给他背书(使得老旧系统兼容),其中之一就是 AddTrust External CA Root

AddTrust External CA Root
过期日期 2020/05/30

在Namecheap申请证书,他会发送三级证书链,最下面一条的公钥即USERTrust RSA Certification Authority ,但它指向的签发者是AddTrust External CA Root,这样证书链变成了前述四级,信任锚转移到已经过期的AddTrust External CA Root
出现此类问题,一般的浏览器会修正证书链,即将信任锚取向最晚过期的证书,但兼容性不强,还有些浏览器不会这么做(今天Via和我的Kindle体验版浏览器就报错)

————
下面是建议:
使用 Comodo/Sectigo 证书且证书链包含USERTrust RSA Certification Authority的,将证书链改为 example.com --- Sectigo RSA Domain Validation Secure Server CA (也可能是其它的)--- USERTrust RSA Certification Authority(信任锚公钥,不是中间信任公钥,签发者是他自己,链接https://censys.io/certificates/e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2/pem)
发表于 2020-5-31 18:14:30 | 显示全部楼层
谁@一下C大,萌新不敢问
 楼主| 发表于 2020-5-31 18:20:03 | 显示全部楼层
还有哈,MySSL.com 扫 www.hostloc.com 证书,发的居然是
主题信息
通用名称(CN)        www.hostloc.com

签发者信息
通用名称(CN)        AlphaSSL CA - SHA256 - G2
组织(O)        GlobalSign nv-sa
国家(C)        BE

这张(签两张RSA……)
发表于 2020-5-31 18:23:44 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| 发表于 2020-5-31 18:28:24 | 显示全部楼层
h20 发表于 2020-5-31 18:23
什么年代了,还要解析CA链的浏览器都是辣鸡,OCSP解千愁


现在浏览器一般都能自寻信任链,缺中间证书都没事(叶子证书有 oid 1.3.6.1.5.5.7.48.2 就能建立证书链)
发表于 2020-5-31 18:28:57 | 显示全部楼层
围观一下 经常有人说过期
发表于 2020-5-31 18:35:19 | 显示全部楼层
  1. 1         Sent by server         www.hostloc.com
  2. Fingerprint SHA256: f98965f2fd36fe37dbcd30221ae2f7ddb2ff9c4b1aacc0a485185d7c1ab3a0f8
  3. Pin SHA256: +lJvPOvHZMJfgI40nC2TVeVbhJ7IYP3uesBYFGoh8b4=
  4. RSA 2048 bits (e 65537) / SHA256withRSA
  5. 2         Sent by server         AlphaSSL CA - SHA256 - G2
  6. Fingerprint SHA256: ee793643199474ed60efdc8ccde4d37445921683593aa751bbf8ee491a391e97
  7. Pin SHA256: amMeV6gb9QNx0Zf7FtJ19Wa/t2B7KpCF/1n2Js3UuSU=
  8. RSA 2048 bits (e 65537) / SHA256withRSA
  9. 3         Sent by server
  10. In trust store         GlobalSign Root CA   Self-signed       
  11. Fingerprint SHA256: ebd41040e4bb3ec742c9e381d31ef2a41a48b6685c96e7cef3c1df6cd4331c99
  12. Pin SHA256: K87oWBWM9UZfyddvDfoxL+8lpNyoUB2ptGtn0fv6G2Q=
  13. RSA 2048 bits (e 65537) / SHA1withRSA
  14. Weak or insecure signature, but no impact on root certificate
复制代码

根证书都发了
 楼主| 发表于 2020-5-31 18:38:03 | 显示全部楼层

什么环境下拉得到Alpha签的这张(3#),反正我本地拉的还是 Sectigo 签的那张
发表于 2020-5-31 18:41:10 | 显示全部楼层
前排围观技术贴
发表于 2020-5-31 18:43:30 | 显示全部楼层
iks 发表于 2020-5-31 18:38
什么环境下拉得到Alpha签的这张(3#),反正我本地拉的还是 Sectigo 签的那张 ...

我这边手机是 Sectigo 电脑是Alpha
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-28 18:38 , Processed in 0.062846 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表