2 Problemas con el certificado

OpenSSL se usa con CRL y para algunas CA en la cadena de certificados su CRL no está incluida en TLSCRLFile

En el registro del servidor TLS en el caso de un par OpenSSL:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo s3_srvr.c línea 3251: error: 14089086: rutinas SSL: ssl3_get_client_certificate: verificación de certificado fallida: \
           TLS escribe alerta fatal "CA desconocida"

En el registro del servidor TLS en el caso de un par GnuTLS:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo rsa_pk1.c línea 103: error:0407006A: rutinas rsa:RSA_padding_check_PKCS1_type_1:\
           el tipo de bloque no es el archivo 01 rsa_eay.c línea 705: error:04067072: rutinas rsa:RSA_EAY_PUBLIC_DECRYPT:paddin

CRL expiró o vence durante la operación del servidor

OpenSSL, en el registro del servidor:

  • antes del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           Rutinas SSL:ssl3_get_server_certificate:verificación del certificado fallida:\
           TLS escribe alerta fatal "certificado revocado"
  • después del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           Rutinas SSL:ssl3_get_server_certificate:verificación del certificado fallida:\
           TLS escribe alerta fatal "certificado caducado"

El punto aquí es que con CRL válida se informa un certificado revocado como "certificado revocado". Cuando la CRL caduca, el mensaje de error cambia a "certificado caducado", lo cual es bastante engañoso.

GnuTLS, en el registro del servidor:

  • antes y después del vencimiento lo mismo:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
             Certificado de igual no válido: el certificado NO es de confianza. Se revoca la cadena de certificados.

Certificado autofirmado, CA desconocida

OpenSSL, en el registro:

error:'self signed certificate: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/statem/statem_clnt.c\
             line 1924: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:\
             TLS write fatal alert "unknown CA"'

Esto se observó cuando el certificado del servidor por error tenía el mismo emisor y cadena de asunto, aunque estaba firmada por CA. Emisor y Sujeto son iguales en el certificado de CA de nivel superior, pero no pueden ser iguales en el servidor certificado. (Lo mismo se aplica a los certificados de proxy y agente).