[eside-ghost] ¿Me están haciendo un MIM?
Cymo
gcymoril en gmail.com
Jue Mayo 19 17:07:22 CEST 2005
He ido a mirar el correo en hotmail, y el mozilla me ha sacao una
ventana diciéndome que el certificado era emitido por una autoridad no
reconocida. Me decía que el certificado venía de cb1.msn.com
¿comor?
Vale que el mozilla no se fíe de hasecorp, pero... ¿por qué esta
mañana no me daba el mismo aviso?
En fin, he tirao de consola:
cymo en Thunder:~$ openssl s_client -connect cb1.msn.com:443 -showcerts
Y me ha sacao un churro de cosas. No sé si lo he interpretado muy
bien, pero: creo que un certificado es válido si dicho certificado o
bien el padre del mismo, es emitido por una autoridad certificadora en
la que el navegador confía, ¿no?
Pues me pone esto:
depth=0 /C=US/ST=Washington/L=Redmond/O=Microsoft/OU=MSN/CN=cb1.msn.com
verify error:num=21:unable to verify the first certificate
En otras palabras, no es capaz de validar el certificado.
Lo siguiente que ha hecho ha sido buscar al padre del certificado:
Microsoft Secure Server Authority
Y tras descargarlo y un montón de movidas que no acabo de entender, me
salta con que:
Verify return code: 21 (unable to verify the first certificate)
En otras palabras: no es capaz de verificar a Hasecorp ??
Pues parece que no. Supongo openssl es un poco "basurilla" y no
soporta algún paso intermedio y no es capaz de llegar al final, hasta
el padre de todos los certificados. Aunque no sé donde estará el
fallo. Si entro con mozilla:
https://cb1.msn.com
No veo gran cosa de información.
En todo caso: al de un rato he vuelto a hotmail, y ahora ya no me da
ese aviso feo. ¿?
Ale, esa sí que es buena.
En fin: no sé si me están haciendo un MIM, o son fallos de hasecorp, o
es que tanto examen me está afectando negativamente.
<CHURRO>
CONNECTED(00000003)
depth=0 /C=US/ST=Washington/L=Redmond/O=Microsoft/OU=MSN/CN=cb1.msn.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=US/ST=Washington/L=Redmond/O=Microsoft/OU=MSN/CN=cb1.msn.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=US/ST=Washington/L=Redmond/O=Microsoft/OU=MSN/CN=cb1.msn.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=US/ST=Washington/L=Redmond/O=Microsoft/OU=MSN/CN=cb1.msn.com
i:/DC=com/DC=microsoft/DC=corp/DC=redmond/CN=Microsoft Secure
Server Authority
-----BEGIN CERTIFICATE-----
MIIFjjCCBHagAwIBAgIKSOvxGgACAAAtLDANBgkqhkiG9w0BAQUFADCBizETMBEG
CgmSJomT8ixkARkWA2NvbTEZMBcGCgmSJomT8ixkARkWCW1pY3Jvc29mdDEUMBIG
CgmSJomT8ixkARkWBGNvcnAxFzAVBgoJkiaJk/IsZAEZFgdyZWRtb25kMSowKAYD
VQQDEyFNaWNyb3NvZnQgU2VjdXJlIFNlcnZlciBBdXRob3JpdHkwHhcNMDUwNDMw
MDMwMTE3WhcNMDYwNDMwMDMwMTE3WjBsMQswCQYDVQQGEwJVUzETMBEGA1UECBMK
V2FzaGluZ3RvbjEQMA4GA1UEBxMHUmVkbW9uZDESMBAGA1UEChMJTWljcm9zb2Z0
MQwwCgYDVQQLEwNNU04xFDASBgNVBAMTC2NiMS5tc24uY29tMIGfMA0GCSqGSIb3
DQEBAQUAA4GNADCBiQKBgQDNTaMus+hYIJypJj3UcArNFPCNsDUnZwgkNm5P7y5x
0ld6NLHiuOsXIYWxdbKoxWyiB/yHtriceBOtvtqxNgTwBq7u89e+dvf9B8Vh6/q7
ahb4CoRiTLwg4oZiXyPVzjctemSg1muGyLsfbwHEL8vc2tQb6i0QoYU3aDYYtC6p
rQIDAQABo4IClDCCApAwCwYDVR0PBAQDAgWgMEQGCSqGSIb3DQEJDwQ3MDUwDgYI
KoZIhvcNAwICAgCAMA4GCCqGSIb3DQMEAgIAgDAHBgUrDgMCBzAKBggqhkiG9w0D
BzAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwEwHQYDVR0OBBYEFJ1mnREr
4FHM4l6YYm/hK+La5PSlMB8GA1UdIwQYMBaAFN8sIdPjGXO8S2ETHGDqS73mriBE
MIGvBgNVHR8EgacwgaQwgaGggZ6ggZuGVmh0dHA6Ly9jcmwubWljcm9zb2Z0LmNv
bS9wa2kvbXNjb3JwL2NybC9NaWNyb3NvZnQlMjBTZWN1cmUlMjBTZXJ2ZXIlMjBB
dXRob3JpdHkoMikuY3JshkFodHRwOi8vY29ycHBraS9jcmwvTWljcm9zb2Z0JTIw
U2VjdXJlJTIwU2VydmVyJTIwQXV0aG9yaXR5KDIpLmNybDCBvwYIKwYBBQUHAQEE
gbIwga8wXgYIKwYBBQUHMAKGUmh0dHA6Ly93d3cubWljcm9zb2Z0LmNvbS9wa2kv
bXNjb3JwL01pY3Jvc29mdCUyMFNlY3VyZSUyMFNlcnZlciUyMEF1dGhvcml0eSgy
KS5jcnQwTQYIKwYBBQUHMAKGQWh0dHA6Ly9jb3JwcGtpL2FpYS9NaWNyb3NvZnQl
MjBTZWN1cmUlMjBTZXJ2ZXIlMjBBdXRob3JpdHkoMikuY3J0MD8GCSsGAQQBgjcV
BwQyMDAGKCsGAQQBgjcVCIPPiU2t8gKFoZ8MgvrKfYHh+3SBT4PC7YUIjqnShWMC
AWQCAQUwJwYJKwYBBAGCNxUKBBowGDAKBggrBgEFBQcDAjAKBggrBgEFBQcDATAN
BgkqhkiG9w0BAQUFAAOCAQEAstqN970Zjy6CqACmankJP8PTRzeGX2AvCqff6h70
rZ/ueBJqsF9IooGLkEkIdR+EHFU8oy9hYLjfW0fIOIIsZXthodaEO01zy9LulYrQ
B5GUJjyTMlS6B7GL9ujcLn0mnEpIzb9gCiWiwiWvbEvTWpstukklo3rM402SohaE
lIo7UlA/HXOla9LO5TnUz1vnq+xDpaCob6Mfaccf1olh1MiM1C2d2AJgNTAgh/G5
fkMYwdhZrfC7gqN4ToyIAyc4rzUOBerWUy78wg/JE1xYBSKspigbGg2xR3xVWFk6
HaXj37Upal4RzKNBjQT7YR0rM+Ua6/rnYqDUFcwmAO7VCg==
-----END CERTIFICATE-----
---
Server certificate
subject=/C=US/ST=Washington/L=Redmond/O=Microsoft/OU=MSN/CN=cb1.msn.com
issuer=/DC=com/DC=microsoft/DC=corp/DC=redmond/CN=Microsoft Secure
Server Authority
---
No client certificate CA names sent
---
SSL handshake has read 1562 bytes and written 324 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID: CB230000BD5FDC52D7A60CB0487E5454B587E75DC560EBC86587388B049CC232
Session-ID-ctx:
Master-Key:
DA81F1D6EFB048946A477B81B588FC61119B6A4925E6B6AE34489350ED0428F1736B732F9B8CEF6644B8A7961B870739
Key-Arg : None
Start Time: 1116514184
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
</CHURRO>
Más información sobre la lista de distribución eside-ghost