Pagina's: [1]

Auteur Topic: Wisselende certificaten bij gebruik SSL  (gelezen 1175 keer)

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 40
  • Berichten: 432
  • Arms are made for hugging
Wisselende certificaten bij gebruik SSL
« Gepost op: 26 november 2019, 09:49:11 »
Ik heb in WebStation enkele virtual hosts, waarvan sommige een eigen certificaat hebben.
46778-0

Als ik zo'n host benader vanaf mijn LAN, dan krijg ik soms het eigen certificaat aangeboden, maar soms ook het default Synology certificaat.

Bv. vanaf mijn workstation:

Code: [Selecteer]
% echo Q | openssl s_client -connect cloud.squirrel.nl:443
CONNECTED(00000003)
depth=1 O = CAcert Inc., OU = http://www.CAcert.org, CN = CAcert Class 3 Root
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = cloud.squirrel.nl
verify return:1
---
Certificate chain
 0 s:CN = cloud.squirrel.nl
   i:O = CAcert Inc., OU = http://www.CAcert.org, CN = CAcert Class 3 Root
 1 s:O = CAcert Inc., OU = http://www.CAcert.org, CN = CAcert Class 3 Root
   i:O = Root CA, OU = http://www.cacert.org, CN = CA Cert Signing Authority, emailAddress = support@cacert.org
---

Hier ontvang ik de juiste (eigen, CAcert uitgegeven) certificaten.
Vanaf een andere server in het LAN:

Code: [Selecteer]
$ echo Q |openssl s_client -connect cloud.squirrel.nl:443
CONNECTED(00000003)
depth=0 C = TW, L = Taipei, O = Synology Inc., CN = synology.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = TW, L = Taipei, O = Synology Inc., CN = synology.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = TW, L = Taipei, O = Synology Inc., CN = synology.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=TW/L=Taipei/O=Synology Inc./CN=synology.com
   i:/C=TW/L=Taipei/O=Synology Inc./CN=Synology Inc. CA
---

Hier ontvang ik het Synology certificaat.

Iemand enig idee hoe dat kan (en hoe te verhelpen)?
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 8 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 8 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 181
  • -Ontvangen: 2697
  • Berichten: 16.686
Re: Wisselende certificaten bij gebruik SSL
« Reactie #1 Gepost op: 26 november 2019, 12:41:49 »
Het "openssl s_client" commando is hier niet geschikt voor. Ook bij veel commerciële sites  zie je niet het certificaat van de virtual host, maar het certificaat van de webserver zelf.

Voor een goede test moet je naar het certificaat in de browser zelf kijken.

Dat verklaart natuurlijk niet waarom hetzelfde commando verschillende resultaten geeft. Zijn het dezelfde openssl versies?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 40
  • Berichten: 432
  • Arms are made for hugging
Re: Wisselende certificaten bij gebruik SSL
« Reactie #2 Gepost op: 26 november 2019, 14:43:52 »
Ja, de versies zijn verschillend:
OpenSSL 1.1.1d FIPS  10 Sep 2019
OpenSSL 1.0.1t  3 May 2016
OpenSSL 1.0.1e-fips 11 Feb 2013

Het lijkt of de 1.1.1d versie wél altijd het goede certificaat krijgt dus wellicht is het iets wat ooit verbeterd is in 1.1.1 tov. 1.0.1.

Controle met browser is niet altijd mogelijk, er zijn ook andere clients die via SSL met die (virtuele) sites praten... Gelukkig heb ik daar nog geen problemen in gezien.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 8 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 8 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 181
  • -Ontvangen: 2697
  • Berichten: 16.686
Re: Wisselende certificaten bij gebruik SSL
« Reactie #3 Gepost op: 26 november 2019, 15:14:07 »
Op de nas staat OpenSSL 1.0.2r-fips

Op mijn mac met OS Sierra staat OpenSSL 1.0.2d

Op mijn mac met OS High Sierra heeft Apple openssl er af gegooid. Het commando is nu een hardlink naar LibreSSL 2.2.7

Ik kan zelf niet testen of versie 1.1.x het beter doet. Ik heb wel eens op 'www.nu.nl' getest. Met mijn openssl versies krijg ik alleen de melding dat er helemaal geen certificaat is. Terwijl ze die echt wel gebruiken. (Een uitgegeven door Amazon)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 40
  • Berichten: 432
  • Arms are made for hugging
Re: Wisselende certificaten bij gebruik SSL
« Reactie #4 Gepost op: 26 november 2019, 15:58:50 »
Voor zover ik kan testen leveren alle 1.0.x connects "no peer certificate available" terwijl 1.1.x een Amazon cert krijgt.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 8 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 8 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 181
  • -Ontvangen: 2697
  • Berichten: 16.686
Re: Wisselende certificaten bij gebruik SSL
« Reactie #5 Gepost op: 26 november 2019, 16:28:29 »
Dat bevestigt dan dat versie 1.1.x inderdaad verder kijkt bij een virtual host en niet naar het certificaat van de onderliggende server kijkt.

Uit de releasenotes van versie 1.1.1e

Citaat
s_client will now send the Server Name Indication (SNI) extension by
     default unless the new "-noservername" option is used. The server name is
     based on the host provided to the "-connect" option unless overridden by
     using "-servername".

Ik denk dat oudere versies dan alleen een IP gebruiken om de informatie op te vragen en dan kan de server hem ook niet naar een specifieke virtual host sturen. Moderne browsers sturen deze info altijd mee in de header.

Edit: maar ik zie dat jij 1.1.1d gebruikte, dus juist van voor deze release. Het zal dan nog een andere aanpassing zijn.

Edit2: Het is niet de reasenote van versie 1.1.1.e, maar van alle versies tot aan 1.1.1e. Bovenstaande quite komt uit het stuk: "Changes between 1.1.0i and 1.1.1 [11 Sep 2018]". Dus al in 1.1.1 geïntroduceerd.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac
Pagina's: [1]
 

Eerste wisselende NAS gebruikservaring via QuickConnect

Gestart door BabyloniaBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

 Reacties: 4
Gelezen: 3192 		Laatste bericht 07 juni 2014, 13:31:27
door Birdy
Hyper Back-up naar wisselende usb-schijf

Gestart door impul88Board Data replicator & overige backupsoftware

 Reacties: 4
Gelezen: 2246 		Laatste bericht 06 januari 2017, 16:41:33
door Benjamin
Sterk wisselende verbindingssnelheid

Gestart door DonderballBoard Windows

 Reacties: 29
Gelezen: 12430 		Laatste bericht 12 augustus 2015, 17:40:56
door Donderball
[Opgelost] Wisselende verbinding

Gestart door Tristan87Board Synology Router

 Reacties: 15
Gelezen: 4548 		Laatste bericht 20 november 2016, 12:09:16
door Briolet