Podivný mišmaš certifikátů Let's Encrypt

Podivný mišmaš certifikátů Let's Encrypt
« kdy: 17. 02. 2022, 13:00:51 »
Dnes se mi stala zvláštní věc (jedinkrát na na dotyčném serveru  a asi i ever), kterou si nedovedu vysvětlit.(Nejlepší bude teď krátce mrknou na druhý odstaveček) Aktér jsem nebyl přímo já, ale byl jsem u toho.  Kamarád si otevřít wordle.cz. Místo se mu otevřelo varování browseru, že certifikát je neplatný - v detailech se ukázalo, že byl vystaven pro doménu aklimbergova.cz. Nikomu jinému se to v tu dobu nestalo a dokonce po refreshi se to otevřelo bez červeného majáku se "se zelenou čepičkou v adrese".


nějaké technické info
IP:  185.8.165.71, HTTP server obojího Apache/2.4.25 (Debian)
doména wordle: Alt-Name v certifikátu: www.wordle.cz,wordle.cz.datum 7.1.-7.4.
doména  aklimbergova : Alt-Name : aklimbergova.cz/ ak07.aklimbergova.cz/ www.aklimbergova.cz 11.2-12.25
reverzní záznam: pravnitrziste.cz (neexistuje dopředný, ale je zaregistrováno)
Můj browser: chromium
Certifikáty jsou Let's Encrypt (Vystavitel R3), kdyby to někdo přehlédl.

Je pro to nějaké vysvětlění? Chyba na serveru / browseru? Nebo nějaký bug TLS/SNI? Vyloučil jsem i že by to byla nějaká reklama ve stylu "covert redirect" (jeden za 100 requestů hodí Location na malware nebo jinam, ostatní na google.com - vtomto případě na originál wordle.cz) - to by přece browser viděl Location:aklinbergova.cz a nepřipojoval se na www.wordle.cz .... Nebo že by zapomněl přehodit SNI/Host?
« Poslední změna: 17. 02. 2022, 15:42:17 od Petr Krčmář »


Jose D

  • *****
  • 850
    • Zobrazit profil
protoze obe stranky jsou na nejakem divnem hostingu.

jose@host:~$ ping wordle.cz
PING wordle.cz (185.8.165.71) 56(84) bytes of data.
64 bytes from pravnitrziste.cz (185.8.165.71): icmp_seq=1 ttl=53 time=1.05 ms)


Asi bych ani na jednu moc nechodil, nebudi to moc duveru.

EDIT: whois rika, ze to je vpsfree, tzn. ten webserver muze provozovat kdokoliv z clenu. tezko rici.

asi bych to bral jako špatně nakonfený webserver.
« Poslední změna: 17. 02. 2022, 14:25:15 od Jose D »

Nejjednodušší vysvětlení je, že se web stěhoval na jinou IP adresu a v DNS to bylo dřív, než došlo k vystavení certifikátu. Což je u certifikátů vystavovaných přes ACME časté, protože vystavení přes HTTP-01 nebo ALPN-01, jak to dělá ve výchozím nastavení většina nástrojů, vyžaduje správný A/AAAA záznam. A co si budeme povídat, je to i nejjednodušší – certifikát vystavený od LE máte během pár vteřin, a u webu typu wordle.cz se nic nestane, když to pár vteřin nebude fungovat.

Případně mohl být nějaký jiný důvod, proč HTTPS server ještě neměl vystaven certifikát na správné jméno. Chyba v prohlížeči či serveru je nepravděpodobná – už by se s tím setkal někdo dřív.

Zajímavé, na to jsem nepomyslel.
Tyo HTTP-01 a ALPN-01 jsou metody žádosti o certifikát? Já jsem četl, že jsou metody. Přes umístění souboru do .well-known/... a druhá přes umístění záznamu do DNS.

Jo a mimochodem je nějaký defaultní čas interval automatického prodlužování LE certifikátu?  Něco jako 15 dní? (Vím že platnost je 90 dní)

Na tom serveru nevidím nic divného.... Divné je, že má ping 1ms  :o  Já mám ping na začátek internetu kolem 18ms a spíš tak 30ms doprostřed českého internetu..
« Poslední změna: 17. 02. 2022, 15:29:54 od lathe »

Zajímavé, na to jsem nepomyslel.
Tyo HTTP-01 a ALPN-01 jsou metody žádosti o certifikát? Já jsem četl, že jsou metody. Přes umístění souboru do .well-known/... a druhá přes umístění záznamu do DNS.
Ano, přesněji jsou to metody pro ověření toho, že jste oprávněným vlastníkem domény (nebo jeho zástupcem). Metody HTTP-01 a ALPN-01 komunikují přímo s cílovým serverem (podle A nebo AAAA DNS záznamů), poslední metoda DNS-01 komunikuje s doménovým serverem, takže s ní je možné certifikát vystavit dřív, než existuje cílový A/AAAA záznam.

Jo a mimochodem je nějaký defaultní čas interval automatického prodlužování LE certifikátu?  Něco jako 15 dní? (Vím že platnost je 90 dní)
Defaultní ne, vždy to záleží na konkrétním klientovi. Typické je obnovovat je každé 1 nebo 2 měsíce.

Na tom serveru nevidím nic divného....
Pokud to byl opravdu přesun na jinou IP adresu (případně jiný server, jiného poskytovatele), už na tom nejspíš nic neuvidíte.

Divné je, že má ping 1ms  :o  Já mám ping na začátek internetu kolem 18ms a spíš tak 30ms doprostřed českého internetu..
V rámci českého internetu není 1 ms neobvyklá.


Jose D

  • *****
  • 850
    • Zobrazit profil
Divné je, že má ping 1ms  :o  Já mám ping na začátek internetu kolem 18ms a spíš tak 30ms doprostřed českého internetu..

hmm, z rezidenční přípojky to mám taky mnohem horší.
Byl jsem zrovna relativně blízko toho myšleného středu Internetu, ne někde za X NATy a propoji ISP.

EDIT: ( + žádný tunely a enkapsulace )
« Poslední změna: 20. 02. 2022, 11:48:28 od Jose D »

Re:Podivný mišmaš certifikátů Let's Encrypt
« Odpověď #6 kdy: 20. 02. 2022, 15:37:26 »
Tyjo v poledne jsem tudy projížděl do savany, neminuli jsme se? Jedl jsem zrovna banán a slyšel jsem takový hukot. Do hluboké jsem měl ping 5ms.